Антивирусная компания Symantec обнародовала данные об обнаружении крупномасштабной таргетированной атаки, ориентированной на кражу данных у химических и оборонно-промышленных компаний. Новая атака с условными названием Nitro была запущена еще в конце апреля, но сначала она была ориентирована на правозащитные организации и лишь потом ее создатели переориентировались на промышленность.

По данным Symantec, атака начала реализовываться с прицелом на промышленные компании с конца июля. С тех пор в ее фокус попали 29 компаний в 19 отраслях, в том числе химической и оборонной. Достоверно известно, что за несколько месяцев атакующим удалось заразить более сотни промышленных компьютеров и похитить с них данные.

Атакующие использовали ставший уже традиционным метод целевых атак, ориентированных на конкретных работников. Хакеры направляли им электронные письма, оформленные как корпоративная электронная корреспонденция и под различными предлогами выуживали закрытые данные. Большинство писем содержали приложенные архивы с троянским софтом китайского производства. Согласно данным Symantec, в большинстве случаев применялись самораспаковывающиеся троянцы Poisonlvy.

После заражения машины-жертвы, троянец связывался с командным сервером и заражал дополнительные корпоративные машины, расположенные в том же корпоративном домене. Также компания отмечает, что атакующие в большинстве случаев использовали индивидуальные методики и сценарии атак.

География атак была достаточно широкой, но большинство инфекций пришлось на США, Бангладеш и Великобританию.

Также Symantec отмечает, что большинство отслеженных командных серверов были арендованными китайскими гражданами виртуальными серверами, расположенными на территории США.