Вайпер No-Justice массово выводит из строя албанские компьютеры

В последнее время албанские организации столкнулись с затяжной серией кибератак. Ответственность за это возложена на иранскую группировку «Homeland Justice» , активную с июля 2022 года. Эти атаки характеризуются использованием вредоносного программного обеспечения «No-Justice», представляющего собой вайпер данных.

Вредонос способен вывести из строя операционную систему Windows на заражённом компьютере таким образом, что её повторный запуск становится невозможным. Как сообщает израильская ИБ-компания ClearSky , вредоносная программа No-Justice (NACL.exe) является исполняемым файлом размером около 220 КБ, требующим прав администратора для стирания данных на компьютере. Программа работает путём удаления загрузочной сигнатуры из главной загрузочной записи компьютера ( MBR ), что делает невозможным последующую загрузку операционной системы.

24 декабря 2023 года хакеры из «Homeland Justice» заявили о возобновлении своей деятельности, объявив о кампании #DestroyDurresMilitaryCamp против военного лагеря в албанском городе Дуррес, где находится оппозиционная иранская группировка Народные Моджахеды Ирана ( MEK ).

Среди целей атак оказались такие организации, как ONE Albania, Eagle Mobile Albania, Air Albania и даже албанский парламент. Атаки осуществлялись с использованием исполняемого вайпера и PowerShell -скрипта для распространения вредоноса по сетям целевых организаций.

В ходе атак также использовались и легитимные инструменты, такие как PuTTY Link , RevSocks и даже Windows 2000 Resource Kit для проведения разведки, бокового перемещения и обеспечения постоянного удалённого доступа.

Кибератаки на албанские организации привлекают внимание в контексте усилившейся напряжённости на Ближнем Востоке, где иранские группы хакеров, такие как Cyber Av3ngers, Cyber Toufan, Haghjoyan и YareGomnam Team, всё чаще нацеливаются на Израиль и США. По данным компании Check Point , такие группы, как Cyber Av3ngers и Cyber Toufan, довольно тесно сотрудничают между собой .

Кевин Бомонт, исследователь в области безопасности, отмечает : «Эти атаки причинили такой ущерб, что многие организации — почти треть — так и не смогли восстановиться. Некоторые из них до сих пор полностью отключены, а среди жертв — как частные компании, так и государственные учреждения».