Хакери използват инфраструктурата на ESET, за да атакуват цели в Израел
Неизвестна страна е съумяла да компрометира вътрешната мрежа на израелското поделение на компанията за сигурност ESET, предава BleepingComputer. Това е довело до опустошителни офанзиви със програмен продукт, заличаващ данните в системите.
В хипотетично политически стимулирана серия от офанзиви, незнайна страна стартира да разпраща лъжлив имейли към клиентите на ESET в Израел. Писмата, правдиво изглеждащи и идващи от сървърите на търговеца на ESET в Израел, подлъгвали жертвите да конфигурират осъществим файл. За задачата, писмата съобщавали, че ESET са засекли злонамерена активност към системите им. Тя била провеждана от държавно подкрепена страна на непозната страна. За по-голяма сигурност, жертвата трябвало да си конфигурира специфична стратегия, заздравяваща отбраните им.
„ Устройството ви е разпознато в лист от устройства, които сега са цел на офанзива от подсилен от непозната страна артист. Отделът за следствие на закани към ESET откри, че това е геополитически стимулирана група “, пишат хакерите. Освен правдиво написан и съпроводен от логото на компанията, имейлът идвал от eset.co.il – сървърите на ESET. По този метод писмата преодолявали общоприетите инспекции (като SPF, DKIM и DMARC) за достоверност на подателя. Самият злотворен файл, който е трябвало жертвата да конфигурира идвал от вътрешната инфраструктура на компанията.
Прикаченият файл в писмата бил списък, съдържащ четири.DLL файла и един осъществим файл. Библиотеките носели цифровия автограф на ESET и били част от общоприета апаратура. Изпълнимият файл нямал дигитален автограф и съдържал разрушаващата стратегия. Самата тя е предпазена от разбор и в допълнение засичане. Специалистът по сигурност Кевин Бомонт съумява да задейства инсталатора само на физическа машина, само че не и на виртуална такава. Информацията, добавя той, е невъзстановима след старта на програмата. Според Бомонт, сървърите на ComSeecure, израелският сътрудник на ESET, били компрометирани най-малко седмица преди офанзивите. В допълнение, при разбор на зловредната стратегия, той открива низ, носещ и политическо обръщение.
„ Хей, ESET, чакайте приключването. Правенето на бизнес с окупаторите ви слага под прицел “, гласи посланието.
Не е прочут броя на потърпевшите машини от случая, нито метода, по който ComSecure са станали жертва на офанзивата. Според ESET, офанзивата била лимитирана като мащаб и компанията осуетила дейностите на атакуващата страна бързо.
