Российских хакеров обвинили в использовании Twitter для хищения данных
Новая вредоносная программа под названием Hammertoss используется для сокрытия хищений данных из зараженных компьютеров. Об этом пишет CNET со ссылкой на отчет (.pdf) компании FireEye, по сведениям которой этот инструмент применяет группа высококвалифицированных хакеров, действующих в интересах российского правительства.
Отличительной особенностью Hammertoss является имитация действий реального пользователя, вплоть до соблюдения графика работы жертвы, поэтому антивирусные программы, ищущие подозрительную деятельность в компьютере, не распознают эту программу, отмечает CNET.
Hammertoss действует следующим образом, утверждают эксперты FireEye. После попадания в скомпрометированный компьютер программа приступает к выполнению серии повседневных задач. Сначала, используя алгоритм, она ищет сообщения от определенных учетных записей в Twitter, из которых получает инструкции, представленные в виде хештега и сетевого адреса.
Затем Hammertoss обращается к сервису Github, чтобы загрузить изображение, которое выглядит обычной картинкой, но содержит в коде файла дополнительные инструкции от хакеров. Используя полученную информацию программа начинает закачивать данные с скомпрометированного компьютера в облачное хранилище, где она становится доступной злоумышленникам.
По сведениям FireEye, хакеры используют Hammertoss только для получения доступа к небольшому количеству ценных объектов. В компании не уточнили, против кого конкретно использовалась данная программа, поскольку связаны соглашениями о конфиденциальности со своими клиентами.
Группу хакеров, использующих Hammertoss, в FireEye назвали APT29 (Advanced Persistent Threat 29). Компания утверждает, что инструмент был обнаружен в начале 2015 года, а сама группа действует по крайней мере с конца 2014 года. В отчете отмечается, что АРТ29 считают связанной с российскими властями из-за характера сведений, которые она пытается получить. Кроме того, говорится в документе, группа прекращает свою работу в дни, которые считаются в России праздничными, и активна в рабочее время, совпадающее с часовым поясом UTC+3, в котором находятся Москва и Петербург.
В апреле сообщалось, что компании удалось зафиксировать атаку на госструктуру некоего государства со стороны группировки APT28, которая также использует продвинутые программные инструменты и предположительно финансируется правительством России. Взлом, по данным источников Bloomberg, был осуществлен с целью получить данные о переговорах по поводу санкций.