Как и в случае других крупных кибератак на известные компании и издания ранее в этом году (NY Times, Washington Post, Twitter, Facebook), в случае с Telenor атака была зафиксирована после того, как специалисты заметили проходящий аномальный трафик между внутренней сетью и интернет. В частности, аномальная сетевая активность была зафиксирована на компьютерах нескольких топ-менеджеров. В результате расследования было установлено, что с этих компьютеров злоумышленники похитили электронную переписку, файлы, пароли и другую личную информацию. Кроме этого, злоумышленникам удалось установить контроль, т. е. получить полный доступ, к скомпрометированным компьютерам. Также не разглашаются детали относительно вредоносных программ, которые были использованы в этой атаке, но сообщается, что угрозы были установлены на компьютеры через фишинговые письма, отправленные на электронную почту. Эти письма содержали zip-архив с вредоносным ПО.
Можно с уверенностью сказать, что атака на Telenor входит в тандем последних атак на крупнейшие компании и издания, которые мы упомянули выше. В случае с Telenor все, судя по всему, еще хуже, так как компания не скрывает того факта, что конфиденциальные данные компьютеров руководства компании были скомпрометированы. Главный акционер Telenor — правительство Норвегии, что делает ее компанией, контролируемой государством. В ней работают более 30 тыс. человек по всему миру и ее прибыль от предоставления телекоммуникационных услуг насчитывает около $18 млрд.
Сегодня три корейские широковещательные, медийные компании (KBS, MBC и YTN), а также два крупных банковских учреждения (Shinhan и Nonghyup) сообщили, что пострадали от крупной кибератаки, которая, судя по всему, завершилась успехом со стороны атакующих, а также вывела из строя внутренние сети этих компаний на несколько часов. Сотрудник компании KBS опубликовал в твиттере следующее фото экрана монитора своего ноутбука. Очевидно ошибка загрузки ОС возникает уже на этапе, когда управления компьютера находится в ведении BIOS и связана с невозможностью передачи управления загрузчику ОС, что свидетельствует о том, что была испорчена таблица разделов MBR или загрузочный сектор. Эта предполагаемая таргетированность, а также симптомы порчи MBR косвенно указывают об использовании вредоносного кода, похожего на Shamoon.
При этом атака сопровождалась дефейсом некоторых южнокорейских сайтов с сообщением от «Whois Team».
ссылка на оригинал статьи http://habrahabr.ru/company/eset/blog/173609/
Добавить комментарий