Від дезінформації до кібератак: як російські хакери продовжують атакувати Україну

Компанія ESET — лідер у галузі інформацйної безпеки — підготувала огляд активності APT-груп кіберзлочинців у квітні-вересні 2024 року. За останні шість місяців російські хакери продовжували атакувати організації в Україні, зокрема за допомогою надсилання електронних листів для отримання початкового доступу, а також використання уразливостей для атак на сервери вебпошти. Крім того, кіберзлочинці проводили нові дезінформаційно-психологічні операції, націлені на окремі регіони України.

Зокрема група Gamaredon поширювала масштабні фішингові кампанії, використовуючи месенджери Telegram та Signal. У липні 2024 року дослідники ESET виявили незвичайний компонент, розгорнутий групою Gamaredon, який відкриває Telegram-канал "Хранители Одессы" у браузері за замовчуванням. Цей канал наповнений російською пропагандою та спрямований на жителів Одеської області.

Інша група Sandworm використовувала новий бекдор для Windows під назвою WrongSens (CERT-UA називає його QUEUESEED) та шкідливе програмне забезпечення для Linux: LOADGRIP та BIASBOAT. Це складні шкідливі програми для Linux, створені розробниками, які добре розуміють внутрішні особливості Linux. Загрози розроблені для роботи лише на цільових машинах, використовуючи їхні ідентифікатори для розшифровки компоненту.

Крім того, виявлена у лютому 2024 року дезінформаційно-психологічна операція "Texonto" продовжувала свою активність для деморалізації українців. Зловмисники переважно використовували електронну пошту як основний метод розповсюдження повідомлень. Зокрема у вересні 2024 року дослідники ESET виявили електронний лист "Texonto", надісланий з DCHC@headlineinteresting[.]pro, ймовірно, націлений на користувачів, які проживають у Сумській області. Текст електронного листа виглядав наступним чином:

Шановні жителі Сумської області!

Через російські авіаудари в регіоні почалися серйозні перебої з електроенергією та водопостачанням. Води і електрики не передбачається в найближчі три тижні.

Просимо вас в найближчі 48 годин придбати все необхідне для життя в екстрених умовах.

У вкладенні - рекомендації, які допоможуть вам пережити цей складний період. Обов'язково перепишіть їх на папір.

Інші групи кіберзлочинців, пов’язані з росією, часто атакували сервери вебпошти, наприклад, Roundcube та Zimbra, зазвичай за допомогою фішингових листів, які запускають відомі уразливості XSS. Крім зловмисників Sednit, націлених зокрема на урядові та пов’язані з оборонною галуззю організації у всьому світі, дослідники ESET виявили іншу групу GreenCube. Ця група кіберзлочинців, пов’язана з росією, викрадала електронні листи через уразливості XSS у Roundcube. З 2022 до 2024 року група GreenCube неодноразово націлювалася на урядові та оборонні організації в Греції, Польщі, Сербії та Україні.

Дослідники ESET також виявили помітне збільшення кількості цілей групи MirrorFace, пов’язаної з Китаєм. Як правило, зосереджені на японських організаціях, кіберзлочинці цього разу також додали до свої цілей дипломатичну організацію в Європейському Союзі. Крім того, APT-групи, пов’язані з Китаєм, все більше використовували мультиплатформенну SoftEther VPN з відкритим кодом для підтримки доступу до мереж жертв.

Тим часом групи, пов’язані з Іраном, могли використовувати загрози для дипломатичного шпигунства. Ці групи скомпрометували кілька компаній з надання фінансових послуг в Африці, здійснювали кібершпигунські дії проти сусідніх країн ― Іраку та Азербайджану. Крім того, групи, пов’язані з Іраном, переслідували дипломатичних представників у Франції та освітні організації в Сполучених Штатах Америки.

Пов’язані з Північною Кореєю групи продовжували атакувати оборонні та аерокосмічні компанії в Європі та США, а також націлювалися на розробників криптовалют, аналітичні центри та неурядові організації. Одна з таких груп, Kimsuky, почала використовувати файли Microsoft Management Console, які зазвичай застосовують системні адміністратори та які можуть виконувати будь-які команди Windows. Крім того, кілька інших груп часто зловживали популярними хмарними сервісами, зокрема Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub і Bitbucket. Також вперше було зафіксовано несанкціоноване використання хмарних сервісів Zoho APT-групою під назвою ScarCruft.

Дослідники ESET помітили, що в країнах Азії атаки кіберзлочинців були спрямовані переважно на урядові організації, зосереджуючись також і на освітній галузі. Група Lazarus, пов’язана із Північною Кореєю, продовжувала атакувати фінансові та технологічні компанії у всьому світі. На Близькому Сході кілька пов’язаних з Іраном APT-угрупувань продовжували атакувати урядові організації, при цьому Ізраїль найбільше постраждав від діяльності зловмисників.

Варто зазначити, що APT-група ― це угрупування висококваліфікованих хакерів, діяльність яких часто спонсорується певною державою. Їх метою є отримання конфіденційних даних урядових установ, високопоставлених осіб або стратегічних компаній та при цьому уникнення виявлення. Такі групи кіберзлочинців мають великий досвід та використовують складні шкідливі інструменти та раніше невідомі уразливості.

Cаме тому компаніям важливо забезпечити максимальний захист завдяки комплексному підходу до безпеки, зокрема подбати про потужний захист пристроїв за допомогою розширеного виявлення та реагування на загрози, розширеного аналізу у хмарі та шифрування даних тощо, а також розуміти можливі вектори атак та особливості діяльності певних груп, які доступні саме у звітах про APT-загрози.

Дослідники ESET готують детальну технічну інформацію, постійно оновлюючи дані про діяльність певних APT-груп у формі розширених звітів, щоб допомогти відповідним організаціям захищати користувачів, критичну інфраструктуру та інші важливі активи від цілеспрямованих кібератак.