В мире
Новости Москвы
Политика
Общество
Происшествия
Наука и техника
Шоу-бизнес
Армия
Игры

Хакеры с 2019 года атакуют компании по добыче возобновляемой энергии

Исследователь в области кибербезопасности (William Thomas) из трастовой группы Curated Intelligence обнаружил крупномасштабную кампанию по кибершпионажу, нацеленную в первую очередь на организации, занимающиеся возобновляемыми источниками энергии и промышленными технологиями. Кампания активна по крайней мере с 2019 года и нацелена на более пятнадцати организаций по всему миру.

Видео дня

Злоумышленники используют кастомный набор инструментов Mail Box, простой фишинговый пакет, а также легитимные web-сайты, скомпрометированные для размещения фишинговых страниц. Большая часть фишинговых страниц размещена на доменах «*.eu3[.]biz», «*.eu3[.]org» и «*.eu5[.]net», а большинство скомпрометированных сайтов расположены в («*.com[.]br»).

Цель фишинговой кампании — украсть учетные данные для входа в систему работников компаний, занимающихся возобновляемыми источниками энергии, организаций по охране окружающей среды и промышленных предприятий в целом.

Примеры организаций, подвергшихся фишинговым атакам, включают: Schneider Electric, Honeywell, Huawei, HiSilicon, Telekom Romania, Висконсинский университет в Мадисоне, универсистеты в Калифорнии и Юте, ГЭС Кырджали (), CEZ Electro (Болгария), Калифорнийский совет по воздушным ресурсам, Муниципальное управление коммунальных служб округа Моррис, Тайваньский научно-исследовательский институт лесного хозяйства, некоммерческая организация Carbon Disclosure Program и производитель оборудования для переработки пластика Sorema ().

ИБ-эксперт подозревает, что с данной кампанией может быть связана либо группировка APT28 (также известная как FancyBear), либо Konni (). Домены, используемые для фишинговых ресурсов, принадлежат Zetta Hosting Solutions. Konni использовала домены Zetta Hosting Solution в кампании против Diplomat, обнаруженной Cluster25, а также в кампании T406 корейских хакеров, проанализированной Proofpoint.

По словам Томаса, многие хакерские группировки используют Zetta в своих вредоносных кампаниях. Однако, у специалиста нет конкретных свидетельств того, что Zetta Hosting сознательно помогает вредоносным кампаниям.