Специалисты компании FireEye Malwera Intelligence Lab выявили новую целевую атаку, направленную на российские компании и государственные ведомства, работающие в области космических исследований, информационных технологий и телекоммуникаций. Вредоносный код, получивший название Sanny и происходящий из Кореи, похищает различные типы информации, в том числе пароли, логины, данные из корпоративных систем, реквизиты от общедоступных сервисов и другие сведения. Также код пытается различными способами получить данные о физическом местоположении целевого компьютера.

По мнению Алекса Ланштейна (Alex Lanstein), старшего инженера FireEye, код Sanny, попадая в компьютер, не причиняет ему вреда, но пытается получить данные, которые могут быть использованы в дальнейшей разведывательной деятельности. «Sanny – один из самых интересных вредоносных кодов современного ландшафта. Он явно относится к так называемому наступательному вредоносному ПО и работает в интересах разведывательных аналитиков», – говорит Ланштейн.

Судя по предварительным данным, операторов Sanny, атакующих российские компьютеры, интересуют прежде всего некоторые документы Microsoft Word, причем распространяется код точно также – под видом легитимного документа Word. В связи с этим антивирусный эксперт считает, что сейчас можно с высокой степенью вероятности утверждать, что российская атака Sanny – это атака со стороны другой страны и речь идет о государственном шпионаже.

В FireEye говорят, что перехваченный ими образец Sanny заинтересовал экспертов набором символов на кириллице, что не слишком типично, так как значительная часть государственных кибератак до сих пор была направлена на Европу или США, где используют латиницу. Дальнейшие исследования подтвердили, что потенциальными получателями вредоноса являются российские компании, в частности работающие с космическими технологиями.

Компания FireEye также заявила, что атака на данный момент находится в активной фазе и оператор атаки примерно каждые 48 часов меняет данные о C&C-сервере, чтобы затруднить его обнаружение. «Только за последние 5 дней злоумышленники трижды собирали данные и дважды меняли данные о сервере», – говорит Алекс Ланштейн.