Російські хакери атакують оборонний сектор України та Європи
Кібератаки російських шпигунів знову спрямовані на Україну та її союзників — компанія з кібербезпеки ESET повідомила про нову активність російських хакерів. Ймовірно, йдеться про Sednit (вони ж Fancy Bear).
Цього разу вони атакують українські державні установи, оборонний сектор та транспортні компанії. Під прицілом стали і оборонні компанії Болгарії та Румунії, що виготовляють зброю радянських зразків для ЗСУ. А також уряди країн Африки, ЄС та Південної Америки.
Як атакують російські кібершпигуни
За інформацією ESET, Sednit надсилає листи з експлойтом XSS. Він запускає шкідливий JavaScript-код прямо у вікні браузера, коли жертва відкриває свою електронну пошту. Так хакери можуть переглядати та перехоплювати лише ті конфіденційні дані, до яких має доступ обліковий запис користувача.
Щоб шпигунська програма спрацювала, жертва повинна відкрити лист на уразливому порталі вебпошти. Тому хакери ретельно маскують повідомлення: вони намагаються обійти фільтри спаму та маскують під новини авторитетних медіа — Kyiv Post або болгарський News.bg.
У темах листів наводять гучні заголовки, наприклад: «СБУ заарештувала банкіра, який працював на ворожу військову розвідку в Харкові» або «Путін домагається від Трампа прийняття російських умов у двосторонніх відносинах».
Як відбувається крадіжка персональних даних
Зловмисники запускають компоненти JavaScript SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE та SpyPress.ZIMBRA, які можуть викрасти облікові дані, перехопити адресну книгу, контакти та історії входів, а також повідомлення електронної пошти.
SpyPress.MDAEMON може налаштувати обхід двофакторної автентифікації, зокрема перехоплювати секретний код двофакторної автентифікації та створювати пароль програми, який дозволяє зловмисникам отримати доступ до поштової скриньки з програми.
Що відомо про кібершпигунство Sednit
Повідомляється, що Sednit діє з 2004 року. Група також відома під назвами APT28, Fancy Bear, Forest Blizzard або Sofacy. Мін’юст США назвав хакерів одних з відповідальних за злам Національного комітету Демократичної партії (DNC) перед виборами 2016 року у США та пов’язали групу з ГРУ.
За інформацією дослідників, сервери вебпошти типу Roundcube та Zimbra були основною мішенню для кількох шпигунських груп як Sednit, GreenCube та Winter Vivern протягом останній двох років.
Нагадаємо, кількість російських хакерських атак на Україну зросла на 48% у другому півріччі 2024-го — про це йшлося у звіті CERT-UA. Фахівці кажуть, що основний вектор атак — збір розвідданих, які можуть вплинути на оперативну ситуацію на фронті. Зокрема, російські хакери націлені на системи ситуаційної обізнаності та спеціалізовані оборонні підприємства.
Що відомо про ESET
Компанія ESET заснована в 1992 році, є міжнародним розробник антивірусного програмного забезпечення і рішень в області комп’ютерної безпеки для корпоративних і домашніх користувачів.