Несколько критических инфраструктурных организаций в России стали мишенью хакеров, которыми, как полагается, движет финансовая составляющая. Об этом сообщает SecurityWeek.

Исследователи из Endpoint security firm Cylance обнаружили поддельные сайты российского нефтяного гиганта "Роснефть" и двух десятков других крупных российских компаний. В список также вошли несколько крупных финансовых бирж, базирующихся в России.

Поскольку многие из целевых организаций принадлежат российскому правительству, можно было бы ожидать, что поддельные веб-сайты были созданы финансируемыми государством субъектами угроз, сосредоточенными на шпионаже. Однако более тщательный анализ показал, что они фактически использовались киберпреступниками с целью заполучить прибыль.

Поддельные веб-сайты напоминали реальные официальные сайты и домены.

Злоумышленники отправили специально созданные документы, предназначенные для извлечения части вредоносного ПО с одного из поддельных веб-сайтов. Основная часть вредоносных программ, доставленных в этих атаках, версия redcontrol вредоносных программ, открывает бэкдор в целевой системе, что позволяет хакерам собирать конфиденциальную и ценную информацию.

По мнению исследователей, киберпреступники были активны в течение более чем трех лет, однако пока неясно, были ли атаки успешными.