Минулого тижня в ЗМІ з'явилася інформація про розслідування кібератак на енергетичний і ядерний сектори США, в здійсненні яких підозрюється Росія. Ажіотаж виник після того, як Міністерство внутрішньої безпеки США і ФБР розіслали енергетичним компаніям попередження про активізувалася хакерської активності.

Головним підозрюваним у атаках є угруповання Energetic Bear, також відома під назвами Dragonfly і Crouching Yeti. Угруповання активна з 2010 року і здійснює атаки на підприємства електроенергетичного сектора принаймні з 2014 року. Багато хто вирішив, що атаки, про які попередили американські влади, аналогічні атакам на електроенергетичні компанії України, який став причиною знеструмлення цілих районів міст в 2015-2016 роках. В ході атак використовувалося спеціальне шкідливе ПО BlackEnergy (2015 рік) і Industroyer (2016 рік).

Про те, яку небезпеку насправді представляють атаки на американські компанії, повідомили експерти Cisco Talos в п'ятницю, 7 липня. За словами фахівців, мова йде про фішингових розсилках, за допомогою яких хакери намагалися викрасти облікові дані для авторизації в локальних мережах.

З травня 2017 року Energetic Bear стала розсилати співробітникам електроенергетичних компаній шкідливі електронні листи з файлами DOCX, замаскованими під резюме від претендентів на роботу. Як показав початковий аналіз, вкладені файли були нешкідливими, так як не містили ні макросів, ні експлойтів. Однак по чистій випадковості дослідники раптом виявили щось підозріле. Експерти звернули увагу на цікаве повідомлення про статус при завантаженні Microsoft Office. Завдяки йому дослідники побачили, що DOCX-файл непомітно завантажував з віддаленого сервера шаблон Word.

Як показало подальше дослідження, DOCX-файл намагався встановити з'єднання з віддаленим SMB-сервером. За допомогою підключення локального хоста до віддаленого SMB-сервера зловмисники намагалися обманним чином виманити у комп'ютера облікові дані для локальної мережі. Цей фокус аж ніяк не є новим і вже давно використовується хакерами.

За словами експертів, на момент проведення дослідження більша частина задіяних в атаках серверів та інфраструктури вже були відключені, а значить, хакери постаралися якомога швидше замести свої сліди.