- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
По результатам расшифровки CPR стало понятно, что один из них представляет собой .NET DLL, связанный с APT Sidewinder, которая, как известно, нацелена на правительственные организации Пакистана и Китая.
Используемое в раскрытой шпионской операции вредоносное ПО используется исключительно этой APT и реализует кражу файлов следующих форматов: docx, doc, xls, xlsx, pdf, ppt, pptx, rar и zip.
Другой файл размером 2 МБ представлял собой лог отработки вредоносного ПО и содержал список всех соответствующих файлов на зараженном компьютере.
Анализируя представленный перечень из более чем 20 000 имен, исследователи CPR сделали вывод об достаточно широком диапазоне целей киберкампании: включая объекты в сфере авиации, связи, ядерного комплекса, образования, электроснабжения и др.
Кроме того, некоторые пути к файлам указывали на документы, относящиеся к руководству Объединенного комитета начальников штабов ВС Пакистана.
Из названий файлов и каталогов ресерчеры смогли установить наименование скомпрометированных учетных записей. Одна из них AHQ-STRC3 явно относится к обозначению штаб-квартиры ВВС Пакистана.
Принимая во внимание, что файл журнала, созданный вредоносным ПО, раскрывал личность жертв, включая имена конфиденциальных документов и систем, можно считать атаку SideWinder успешной.