Уточнены происхождение и масштаб кибершпионской операции Sharpshooter

Стали известны новые подробности о масштабной кампании кибершпионажа Sharpshooter. Впервые исследователи компании McAfee сообщили о ней в декабре прошлого года. Тогда было обнаружено, что неизвестные киберпреступники успешно атакуют частные компании и государственные учреждения, относящиеся к таким отраслям критической инфраструктуры, как ядерная энергетика, оборонная промышленность, нефтегазовая индустрия и финансовый сектор. Главными целями операции были компании и организации в англоговорящих странах, а первые атаки, предположительно, состоялись осенью 2018 года.

Теперь специалисты McAfee получили возможность уточнить свои выводы. Неназванное государственное агентство предоставило им доступ к одному из командных серверов операции Sharpshooter, контроль над которым, очевидно, смогли установить правоохранители. Анализ новой информации позволил узнать много нового об атаке. Прежде всего, исследователи убедились, что за ней стоит хакерская группировка Lazarus Group, действующая, предположительно, в интересах правительства Северной Кореи. Связь инструментов, использованных в атаках Sharpshooter, с инструментами Lazarus отмечалась экспертами и в декабре, но тогда они посчитали сходство слишком очевидным и предположили, что злоумышленники специально наводят расследование на ложный след. Теперь же в McAfee уверены, что атаки Sharpshooter организованы именно северокорейскими хакерами.

Кроме того, операция оказалась намного более масштабной и продолжительной, чем считалось ранее. Новые данные позволяют заключить, что атаки Sharpshooter продолжаются как минимум с 2017 года, а наибольшее число жертв приходится на Германию, Турцию, Великобританию и США.

Источник: The Register