Обновена на 11.10.2018 от Questo
Непозната досега хакерска група, наречена Gallmaker, е атакувала държавни и военни институции в Източна Европа и Близкия изток. Според Symantec, която е открила активността на групата, част от целите са посолства на източноевропейска страна в различни региони на света. Името на страната не е посочено, но от публикуваната информация може да се направи предположение, че става дума за България.
Групата е изпращала зловредни файлове с разширение .docx и имена, които „биха били интересни на широк кръг от цели в Източна Европа“. Посочени са няколко примера за имена на зловредни файлове:
- bg embassy list.docx („списък с български посолства“, ако приемем, че bg е съкращение за България)
- Navy.ro members list.docx (Navy.ro е сайтът на военноморските сили на Румъния)
- Документи виза Д – кореспонденция.docx (Виза „Д“ се получава за дългосрочно пребиваване в чужбина)
„Групата Gallmaker действа много таргетирано. Целите й са свързани с правителствени, военни и отбранителни сектори. Някои от целите са посолства на източноевропейска страна. Набелязаните посолства се намират в различни региони на света, но всичките са свързани с една и съща държава“, коментират от Symantec.
Според анализаторите на компанията атаката на набелязаните институции е протичала по следния начин:
1.Хакерите изпращат зловреден файл, най-вероятно чрез спиър фишинг атака;
2.Имената на файловете са на кирилица или латиница и са по теми, свързани с държавни, дипломатически и военни институции. Това увеличава вероятността те да бъдат отворени;
3.Документите се опитват да експлоатират протокола DDE (Dynamic Data Exchange). Подобно на макро скриптовете, той позволява стартирането на скриптове, скрити в „офисни“ файлове формати (разбирай такива за Word и Excel). Тази уязвимост в Microsoft Office беше пачната през декмври 2017 г., но според Symantec институциите, които са станали жертва на атаката, не са направили ъпдейт на софтуера си;
4.Ако набелязаната жертва отвори файла, зловредният скрипт се задейства и дава достъп на хакерите до заразеното устройство;
Според Symantec освен дипломатически институции, свързани с „една източноевропейска страна“, Gallmaker са атакували и военни институции в Близкия изток. Дейността на групата е била засечена за пръв път през декември 2017 г. и е продължила до юни 2018 г. Забележим ръст в активността й е отчетен през април.