Кампания VOHO

Кампания VOHO (англ. VOHO Campaign) — масштабная и многовекторная кибератака на американские правительственные и коммерческие организации имевшая место в 2012 году.

Специалисты корпорации Symantic, привлечённые к расследованию этих событий, связали их с активностью хакерской группировки «Спрятавшаяся рысь», которая работала из китайского сегмента международной сети Интернет^[1].

Краткая справка[править]

В процессе кампании VOHO под удар хакеров попал ряд правительственных органов, финансовых учреждений и технологических служб штата Массачусетс и округа Колумбия. Помимо них пострадали оборонные подрядчики, учебные заведения и некоторые политические активисты^[2]. Распространение вредоносного кода было проведено методом «атаки у водопоя» с помощью легальных веб-ресурсов, которые перенаправляли своих посетителей на веб-сайт, настроенный на раздачу троянского кода. Заражение происходило следующим образом: на первом этапе выяснялся тип операционной системы на компьютере и наличие браузера Internet Explorer. Если он присутствовал, то на машину загружалась троянская программа «gh0st RAT». Она позволяла злоумышленникам брать компьютер под контроль, заливать и сливать с него файлы, управлять его видеокамерой, микрофоном и т. д.^[3] Эксперты по кибербезопасности из компании RSA заявили, что этот же самый код применялся в 2009 году в процессе операции «Аврора» для вскрытия учётных записей компании Google^[2].

Методы осуществления кампании VOHO не стали для специалистов новинкой, так как их применение было отработано злоумышленниками в ходе проведения операции «Аврора» и реализации программы кибершпионажа «GhostNet». Однако, масштаб заражений путём «атаки у водопоя» достиг по тем временам невиданного размаха. Всего на сайт с вредоносным эксплойтом было перенаправлено около 32 тыс. посетителей из 731 организации; около 4000 загрузили к себе заражённые файлы, а подверглись заражению около 12 % из них, что было расценено следователями как блестящий результат. Одним из главных сайтов, который массово перенаправлял своих визитёров на заражённый веб-ресурс, стал портал Массачусетсткого регионального банка^[2].

Предполагается также, что с кампанией VOHO связано похищение сертификатов доступа компании Bit9, которая занималась обеспечением безопасности американских правительственных учреждений и оборонных корпораций. По регламенту Bit9 меры безопасности обеспечивались специальными сертификатами, которые выдавались только проверенным пользователям и их программному инвентарю. В феврале 2013 года, используя метод SQL-инъекции, хакеры группировки «Спрятавшаяся рысь» проникли во внутренние сети Bit9 и получили сертификаты безопасности для тридцати двух своих вредоносных утилит. Использование периметра защиты в качестве канала проникновения в целевую систему в технической литературе получило высокую оценку и было названо «великолепным и эффективным» вектором атаки^[4].

См. также[править]

• Kибератака на украинскую энергосистему 2015 года

Источники[править]

Литература[править]

• Diehl, Eric Ten Laws for Security. — Springer, 2016. — ISBN 978-3-319-42639-6.
• Doherty, Stephen Hidden Lynx – Professional Hackers for Hire. — Symantec World Headquarters, 2013. — 28 с.
• Broadband Communications, Networks, and Systems : 9th International EAI Conference, Broadnets 2018 Faro, Portugal, September 19–20, 2018 Proceedings / Victor Sucasas, Georgios Mantas, Saud Althunibat. — Springer, 2018. — ISBN 978-3-030-05194-5.

Одним из источников этой статьи является статья в википроекте «Руниверсалис» («Руни», руни.рф), называющаяся «Кампания VOHO». Материал указанной статьи полностью или частично использован в Циклопедии по лицензии CC BY-SA. Всем участникам Руниверсалиса предлагается прочитать «Обращение к участникам Руниверсалиса» основателя Циклопедии и «Почему Циклопедия?».