Российская группа кибер-шпионов Fancy Bear (известны также как APT28) попыталась провести фишинговую атаку против исследователей в области безопасности. По всей видимости, эта атака может легко получить номинацию на Pwnie Awards как один из самых эпических фейлов года.

Фишинговая кампания стартовала в начале месяца, её целью стали участники конференции CyCon, организованной Центром совершенствования совместной киберзащиты НАТО (CCDCOE) и Институтом кибернетики армии в Вест-Пойнте.

Курьез ситуации заключается в том, что хакеры совершенно упустили из виду следующий факт: участники конференции, на которых была нацелена кибератака, являются экспертами в области кибербезопасности и хорошо знают, что такое фишинг, вредоносное ПО и группа APT.

Что сделала российская группа кибер-шпионов? Может они использовали неизвестный эксплойт нулевого дня, который никто не может детектировать? Нет, они просто разослали фишинговые письма с документами Word, содержащими макросы.

Напомним, что эксперты по безопасности, заинтересованные в посещении CyCon, вряд ли будут неосмотрительно открывать документы, содержащие макросы Word.

Эксплойты «нулевого дня» стоят дорого, и если их запустить в ход, то, скорее всего, в ближайшем будущем они будут исправлены. Атаку zero-day необходимо проводить против профессионалов высокого класса. Тогда «сжигание» подобного эксплойта имеет смысл. Вместо этого группа APT28 атаковала с помощью дорогостоящих эксплойтов «нулевого дня» сотрудников правительственных организаций в начале этого года, большинство из которых практически не имели знаний в области кибербезопасности.

Использование zero-day для атаки на государственных служащих и секретарей сравнимо с использованием лазера Звезды смерти (Death Star) для охоты на колорадских жуков. В свою очередь, развертывание вредоносных макросов Word против экспертов по безопасности аналогично удару футбольным мячом по броне танка Abrams.

Тот, кто организовал такую кампанию для APT28, просто выставил себя на смех. И это притом, что APT28 имеет достаточно солидную (если такой термин подходит к хакерам) репутацию. Например, в прошлом группа была связана с успешными нападениями на НАТО, Пентагон, Белый дом, DNC и парламент Германии.

В данном случае, если бы эксперты по безопасности не минуту перестали смеяться и разрешили выполнение макроса Word (разумеется в изолированной среде), они бы заметили загрузку и установку вредоносного ПО Seduploader. Это один из классических бэкдор-троянцев APT28, используемый в основном для разведывательных операций.


  Источник: BleepingComputer