Проукраинские хакеры освоили фишинг от лица РКН: идет рассылка о нарушениях в сфере персональных данных
«Лаборатория Касперского» фиксирует рассылку вредоносных писем российским ИТ- и телеком-компаниям от имени госведомства с фальшивыми уведомлениями о нарушении 152-ФЗ. Письма содержат запароленный архив, при запуске которого устанавливается бэкдор BrockenDoor, используемый хакерской группой BO Team. Вредоносное ПО передаёт данные о системе и файлах на сервер злоумышленников.
«Лаборатория Касперского» фиксирует волну вредоносных рассылок, нацеленных на российские ИТ- и телеком-компании, сообщили SecPost в компании. Злоумышленники отправляют организациям письма от имени государственного ведомства с уведомлениями о жалобах граждан на нарушение требований Федерального закона №152-ФЗ «О персональных данных».
В сообщении «Лаборатории Касперского» не указывается напрямую, от лица какого государственного ведомства ведется рассылка. Однако, как следует из 23 статьи ФЗ №152-ФЗ «О персональных данных», уполномоченным органом по защите прав субъектов персональных данных является «федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Деятельность по контролю и надзору в сфере обработки персональных данных возложена на Роскомнадзор, следует из информации на сайте ведомства. Вероятнее всего, что именно от лица этого ведомства злоумышленники и проводят рассылку.
В ответ на запрос SecPost в Роскомнадзоре пояснили: все официальные письма ведомства и его территориальных органов подписываются электронной подписью в формате .sig. Проверить ее подлинность и срок действия можно через портал «Госуслуги». Для корреспонденции ведомство использует адреса в домене @rkn.gov.ru.
В поддельных уведомлениях говорится о якобы проведённой проверке, выявленных нарушениях и возможном возбуждении административного дела. Получателей предупреждают о необходимости срочно направить пояснения и угрожают ответственностью за несвоевременный ответ. Для убедительности в письмах используются ссылки на реальные нормативные акты и формулировки госведомств, сообщают в «Лаборатории Касперского».
Письма содержат архив с «материалами проверки», защищённый паролем, который указан в тексте сообщения. Как сообщили в компании, если жертва запустит файл из архива, на устройство установится бэкдор BrockenDoor. Программа связывается с сервером злоумышленников и может передавать им имя пользователя, сведения о компьютере и системе, список файлов на рабочем столе. При заинтересованности бэкдор получает команды для запуска дальнейших сценариев атаки.
В «Лаборатории Касперского» отмечают, что бэкдор BrockenDoor — один из основных инструментов проукраинской хакерской группы BO Team, которая остаётся серьёзной и постоянно развивающейся угрозой для российских организаций. Ранее SecPost писал о том, что злоумышленники атаковали российские медицинские учреждения от имени страховых компаний и больниц, а затем переключились на промышленный сектор с темой нарушения техосмотра транспорта.
