Руководители российских компаний подверглись кибератакам

Хакерская группировка Void Balaur атаковала топ-менеджеров российских телекоммуникационных компаний и членов семей руководителей крупной российской корпорации, обнаружила компания Trend Micro. Подобные атаки — редкость, говорят эксперты по кибербезопасности. Они предупреждают, что злоумышленники могут годами шпионить за топ-менеджерами, чтобы от их имени получать доступ к закрытым документам или дать указание финансовому отделу перевести деньги.

Компания по кибербезопасности Trend Micro выпустила исследование, посвященное русскоязычной хакерской группировке Void Balaur. Хакеры похищали данные россиян и продавали заинтересованным покупателям на теневых площадках. Группировка предоставляет данные операторов связи — историю и записи звонков и СМС-сообщений, а также услугу блокировки телефонных номеров. «Не исключено, что группировка получала такие чувствительные частные данные, давая взятки инсайдерам в телекоммуникационных компаниях»,— отмечается в исследовании.

Также возможен сценарий, при котором были скомпрометированы ключевые инженеры или сети телекоммуникационных компаний, полагают в Trend Micro.

Исследователи обнаружили атаки на основателя оператора мобильной виртуальной сети, заместителя директора, инженеров телекоммуникационных компаний и производителей сотового оборудования.

Кроме того, Trend Micro выяснили, что России с июля 2020-го по август 2021 года Void Balaur атаковала членов совета директоров, исполнительных директоров крупной российской корпорации и членов их семей.

Атаки именно на топ-менеджеров — редкость, так как в основном это работа по конкретному заказу, и в отличие от массовых атак такие услуги будут очень дорогими и мало востребованными, утверждает главный эксперт «Лаборатории Касперского» Сергей Голованов. В открытом доступе известных случаев кибератак на руководителей не так много, но они встречаются, говорит эксперт по информационной безопасности IТ-компании «Крок» Александр Двинских.

По его словам, основными векторами для атаки являются электронная почта, социальные сети или мобильный номер телефона, который обнаруживается, например, в даркнете или в Telegram-каналах по продаже персональных данных.

Сама атака заключается в отправке фишинговых сообщений с вредоносными вложениями или ссылками на мошеннические ресурсы, позволяющие похитить критичные данные, рассказывает эксперт. Кроме того, нередки случаи, когда топ-менеджеры просят для себя исключений из общей политики информационной безопасности, что также может открыть лазейки для хакеров, добавляет руководитель отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies Денис Кувшинов. По его мнению, после компрометации через почтовый ящик топ-менеджера могут рассылать письма в финансовый отдел с указанием перевести деньги или попросить сотрудника предоставить закрытую информацию.

Время, которое злоумышленники могут оставаться незамеченными, зависит от бдительности жертвы, говорит Сергей Голованов. Если их интересуют, например, учетные данные или переписка, то они могут осуществлять шпионаж годами, а если мотивация финансовая, то выдать себя они могут спустя пару дней после компрометации аккаунта, уточняет Денис Кувшинов. В среднем обнаружение таргетированной атаки на сеть предприятия происходит спустя 200 дней после ее начала, так что несанкционированный доступ к конфиденциальной информации топ-менеджеров может продолжаться не один день и даже не один год, подытоживает Александр Двинских.

Юлия Степанова