Помимо компаний в России, под прицел попали учреждения в десяти странах, включая Индию, США, Тайвань и Германию. В четырех из них эксперты Positive Technologies обнаружили скомпрометированные правительственные серверы. Все жертвы получили уведомления по линии национальных групп реагирования на чрезвычайные ситуации (CERT).

Название ChamelGang произошло от слова chameleon, так как хакеры маскируют вредоносное ПО и сетевую инфраструктуру под легитимные сервисы — в частности, регистрируют фишинговые домены, имитирующие сервисы Microsoft, TrendMicro, McAfee, IBM, Google и пр. Инструментарий включает ранее не описанное вредоносное ПО ProxyT, BeaconLoader и бэкдор DoorMe.

Первые атаки на ТЭК и авиапром в России, по данным Positive Technologies, были зафиксированы в марте. В одной из них хакеры сначала напали на дочернюю организацию, а через две недели — на головную компанию: узнали пароль локального администратора и проникли в сеть компании по протоколу удаленного рабочего стола (RDP), получив контроль в том числе над критически важными серверами и узлами.

Во второй атаке злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange и присутствовали в инфраструктуре восемь дней, не успев нанести значимого ущерба, отмечают в Positive Technologies.

• В «Лаборатории Касперского» подтвердили таргетированный характер атаки ChamelGang и широкую географию жертв, в том числе «единичные попытки атак в России». Эксперты наблюдают «отдельные компоненты атаки» группировки как минимум с мая.

Узнайте больше

В начале сентября «Яндекс» пережил мощную DDoS-атаку на свои сервисы — крупнейшую в истории всего интернета, если верить самой компании. Подробнее о том, как «Яндекс» устоял и действительно ли это серьезная угроза, мы рассказали здесь.