• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости За кибератакой на правительство Албании стоят четыре иранские группировки

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

15 июля 2022 года четыре группировки иранских правительственных хакеров провели разрушительную атаку на государственные онлайн-сервисы и правительственные веб-сайты Албании, выведя их из строя.

По данным Microsoft, атака состояла из четырех этапов, за каждый из которых отвечали разные группировки:
  • DEV-0861 – предоставила первичный доступ к системам и данным. Эксперты предполагают, что эта группировка может быть связана с EUROPIUM – бандой хакеров, работающей на Министерство информации и национальной безопасности Ирана (MOIS). В отчете Microsoft говорится, что злоумышленники могли получить первоначальный доступ к албанским государственным системам, используя CVE-2019-0604 – уязвимость в SharePoint, исправленную в марте 2019 года. Киберпреступники выполнили вредоносный код, внедряющий веб-оболочки, которые затем используются для загрузки файлов, проведения разведки, выполнения произвольных команд и отключения антивирусных программ. По данным экспертов, хакеры получили первоначальный доступ к системам жертвы в мае 2021 года, а в период с октября 2021 года по январь 2022 года крали электронные письма чиновников из взломанной сети.
  • DEV-0166 – похитила нужные данные;
  • DEV-0133 – исследовала IT-инфраструктуру жертвы;
  • DEV-0842 – развернула вымогательское ПО и вайпер. На этом этапе все прошло так же, как и в ходе других кибератак, приписываемых иранским группировкам: сначала было развернуто вымогательское ПО, а потом вайпер, использующий лицензионный ключ и драйвер EldoS RawDisk, который был ранее замечен в другой кибератаке 2019 года. Вайпер, использованный DEV-0842 был подписан недействительным цифровым сертификатом от Kuwait Telecommunications Company KSC.
Проанализировав сообщения, время и выбор целей, эксперты сделали вывод, что все группировки действовали под эгидой иранского правительства, как бы оно не открещивалось от произошедшего. Microsoft отметила, что такая атака может быть местью за кибератаку, организованную Израилем и Организацией моджахедов иранского народа – группировкой, стремящейся свергнуть иранское правительство.
 
Сверху