Хакеры из России взламывали сайты НАТО кодом с отсылками к «Дюне»

Группа российских хакеров совершила нападение на сайты НАТО, сообщает специализирующаяся на информационной безопасности компания iSight Partners. Ранее эта же группа взламывала сайты европейских, американских и украинских госорганизаций.

Последней целью группировки, уточняет Bloomberg, могли стать документы с саммита НАТО в Уэльсе. iSight Partners не уточняет, достигли ли хакеры своей цели, но обещает предоставить расширенный отчёт 16 октября. За деятельностью группировки, которую специалисты назвали Sandworm, наблюдают с конца 2013 года. Это название она получила из-за ссылок на книжный цикл «Дюна» Фрэнка Херберта в своих вредоносных кодах. В компании F-Secure считают, что группировка действует с 2009 года и ранее была известна под названием Quedach.

Sandworm использует фишинговые атаки, троянскую программу BlackEnergy, а в последний раз использовала уязвимость «нулевого дня» в Windows и Windows Server (версии 2008 и 2012 годов). Активность группы наблюдалась в связи с геополитическими конфликтами, в которых участвовала Россия. Это удалось выяснить по адресам, по которым Sandworm рассылала письма, и следам в коде, которые они не успели уничтожить. В iSight Partners считают, что взломщики оставили следы из-за спешки.

Обнаруженной уязвимости «нулевого дня» подвержены все версии Windows. 14 октября Microsoft выпустила патч CVE-2014-4114 для её устранения.