Hakerzy używają socjotechniki, aby przejąć kontrolę nad komputerami. Wirus przenosi się przez plik Worda, w którym umieszczono aplet Flasha. Instytucje, zajmujące się stosunkami międzynarodowymi, otrzymują zarażony dokument, zatytułowany na przykład “World War 3.docx”, w którym jest artykuł o Korei Północnej. Po otworzeniu pliku trojan instaluje się na komputerze ofiary i może działać jako narzędzie szpiegowskie.
Hakerzy za cel ataków obierają szczególnie instytucje publiczne i linie lotnicze w Europie oraz Stanach Zjednoczonych. Przestępcy starają się jak najszybciej wykorzystać lukę, zanim administratorzy zdążą zaktualizować wtyczkę na wszystkich maszynach. Uderzają w dużą liczbę instytucji w tym samym czasie – co wzbudziło podejrzenia ekspertów od cyberbezpieczeństwa.
Grupa APT28 wcześniej wykorzystywała podobną technikę, włamując się do instytucji w USA i na Ukrainie. Hakerzy znani są też pod nazwą Fancy Bear. Według amerykańskich służb, odpowiadają za ataki podczas wyborów prezydenckich w USA w 2016. Na początku tego roku CIA, FBI oraz NSA w swoim raporcie wskazały rosyjskie służby jako odpowiedzialne za cyberataki. Z rosyjskimi szpiegami zmaga się także Microsoft, który przejmuje używane przez nich domeny, o czym pisaliśmy w CHIP-ie pod koniec lipca. | CHIP