Хакерская группировка Buhtrap, известная атаками на российский бизнес с использованием поддельных контрактов и счетов-фактур, перешла к занятию кибершпионажем, обнаружила компания ESET. По данным аналитиков, целью хакеров стали банки и госучреждения Восточной Европы и Центральной Азии. Исходный код Buhtrap еще в 2016 году оказался в открытом доступе, а значит, его могут использовать и новые преступники, не исключают эксперты.
Фото: Reuters
Хакерская группировка Buhtrap занялась кибершпионажем, сообщил словацкий производитель антивирусов ESET. Изначально Buhtrap атаковала российские компании и банки, прикладывая к письмам поддельные счета-фактуры, контракты и акты сдачи-приемки «с целью прямой финансовой выгоды». Как правило, киберпреступники компрометировали один компьютер компании, отправив сотруднику фишинговое сообщение с вредоносной программой, а далее расширяли свои полномочия в системе, уточняет ESET. Вредоносное программное обеспечение позволяло шпионить за пользователями, перехватывать нажатие клавиш и получать информацию. В конце 2015 года группировка переключилась на банки и госучреждения Восточной Европы и Центральной Азии, «с этого момента целью группировки стал кибершпионаж», утверждают в ESET.
Николай Мурашов, замдиректора Национального координационного центра по компьютерным инцидентам ФСБ, 27 июня 2019 года
Каждая третья хакерская атака в РФ приходится на кредитно-финансовую сферу
В ESET указывают, что пришли к выводу о переходе Buhtrap к кибершпионажу, когда исследовали уязвимость в компоненте win32k.sys, которая позволила преступникам в июне 2019 года организовать таргетированную атаку на пользователей из Восточной Европы. В ходе кибератаки применялся один из модулей стандартного загрузчика Buhtrap, при этом вредоносное ПО предоставляло своим операторам полный доступ к скомпрометированной системе. Еще в феврале 2016 года исходный код Buhtrap оказался в открытом доступе, но эксперты ESET все равно убеждены, что атаки против бизнес-структур, банков и госучреждений совершают одни и те же лица — «смена целей произошла до утечки кода», утверждают там.
Другие эксперты по кибербезопасности не согласны с выводами ESET. Утекший код может использовать кто угодно, поэтому если нет других доказательств, что за атакой стоит именно Buhtrap, вопрос атрибуции остается открытым, считает эксперт по компьютерным расследованиям центра мониторинга и реагирования на кибератаки «Ростелекома» Игорь Залевский. «Также вызывает сомнение, что хакеры, грабившие банки, переключатся на кибершпионаж — это просто менее выгодно. Если же их наняли, то неясно, зачем использовать старое и широко известное антивирусным компаниям вредоносное ПО»,— рассуждает эксперт.
«Если цель атакующих — кибершпионаж, то они прилагают максимум усилий, чтобы избежать обнаружения. Buhtrap — это массовая атака на малый и средний бизнес. В целевых атаках, которые специально создаются под конкретную организацию, Buhtrap замечен не был»,— подтверждает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.
Руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев не исключает, что новая группировка могла взять на вооружение старый инструмент и теперь использует его для проведения целевых атаках, при этом ее целью является шпионаж. Применение общедоступных инструментов может использоваться в качестве механизма запутывания следов и установить причастность конкретной группы к атакам становится крайне сложно, рассуждает эксперт.