„HackBrowserData Infostealer“ kenkėjiška programa naudojama atakoms prieš Indijos subjektus

Tyrėjai atskleidė naują šnipinėjimo bandymą, nukreiptą į Indijos vyriausybines institucijas ir šalies energetikos sektorių, naudodami modifikuotą atvirojo kodo duomenų grobimo įrankį, pavadintą HackBrowserData. Šis įrankis gali rinkti prisijungimo duomenis, slapukus ir naršymo istoriją.

Kovo pradžioje Nyderlandų kibernetinio saugumo įmonės „EclecticIQ“ tyrėjų atskleidė kampanijos kilmė lieka nenustatyta. Jų išvados, paskelbtos trečiadienį, atskleidžia, kad įsilaužėliai iš taikinių išsiurbė 8,81 GB duomenų, galbūt palengvindami tolesnį įsiskverbimą į Indijos vyriausybės sistemas.

Pradinis atakos vektorius naudoja PDF failus

Kenkėjiška programinė įranga buvo platinama per sukčiavimo PDF failą, pridengtą Indijos oro pajėgų kvietimu. Daroma prielaida, kad pradinis PDF failas buvo gautas per ankstesnį pažeidimą, o užpuolikai jį panaudojo iš naujo.

Nekenksmingai atrodančiame dokumente buvo paslėpta kenkėjiškos programos nuoroda. Suaktyvinta kenkėjiška programa nedelsdama pradėjo vogti dokumentus ir talpykloje saugomus naršyklės duomenis, perduodama juos į „Slack“ kanalus, kuriuos kontroliuoja užpuolikai, taikliai pavadintus „FlightNight“.

„HackBrowserData“ eina po dokumentų ir duomenų bazių

Kenkėjiška programa buvo užprogramuota taip, kad būtų skirta konkrečiai tam tikrų tipų failams, pvz., „Microsoft Office“ dokumentams, PDF failams ir SQL duomenų bazėms, todėl vagystės procesas gali paspartėti.

Tarp nukentėjusių subjektų buvo Indijos agentūros, prižiūrinčios elektroninius ryšius, IT valdymą ir krašto apsaugą, taip pat privačios energetikos įmonės, iš kurių buvo gauti finansiniai dokumentai, darbuotojų duomenys ir informacija apie naftos ir dujų gręžimo veiklą.

Nors už kampaniją atsakinga grupė lieka nenustatyta, kenkėjiškos programos ir pristatymo metodo panašumai rodo ryšį su ankstesne sausio mėn. ataka, kurios taikiniu buvo Indijos oro pajėgų pareigūnai, naudojant kredencialus vagiančią kenkėjišką programą, pavadintą GoStealer.

Atrodo, kad abi kampanijos yra to paties grėsmės veikėjo darbas, kaip teigia EclecticIQ. Pasak mokslininkų, šie incidentai pabrėžia atvirojo kodo įrankių panaudojimo kibernetiniam šnipinėjimui efektyvumą.