Франція розкрила кібератаки хакерів ГРУ на стратегічні об'єкти

Франція звинуватила хакерів ГРУ з угруповання APT28 (Fancy Bear) в атаках на свою критичну інфраструктуру.

Про це йдеться в звіті CERT-FR за період з 2021 по 2024 рік.

За даними звіту, з 2021 року були атаковані:

міністерства, місцеві органи влади та державні установи;
організації оборонно-промислового комплексу (DTIB);
аерокосмічні підприємства;
дослідницькі установи та аналітичні центри;
організації економічного та фінансового секторів.

У 2024 році основними цілями атак стали урядові, дипломатичні, дослідницькі установи та аналітичні центри, в тому числі французькі державні структури.

На початковій стадії зараження оператори APT28 проводять фішингові кампанії, експлуатують вразливості — в тому числі вразливості "нульового дня" — і здійснюють атаки методом перебору паролів, зокрема на email.

Приклади атак:

Атаки на сервери електронної пошти Roundcube через фішинг. Зловмисники з APT28 розсилали фішингові листи користувачам, які працюють з поштовими серверами Roundcube. Листи були забезпечені посиланнями або шкідливим кодом, який експлуатував вразливості сервера. Мета: отримати доступ до вмісту поштових скриньок: листів, контактів, конфіденційних даних, а також знайти нові потенційні цілі для подальших атак через отримані контакти. Експлойти вбудовувалися так, що їх виконання відбувалося автоматично під час обробки листа на сервері без участі користувача.

Кампанії 2023 року через безкоштовні веб-сервіси (InfinityFree + Mocky.IO). APT28 відправляли фішингові листи з посиланнями на домени безкоштовного хостингу InfinityFree. Користувач завантажував ZIP-архів, який містив шкідливу програму — бекдор HeadLace. Останній збирав облікові дані — логіни та паролі, інформацію про систему (ОС, ПЗ тощо), а іноді встановлював планувальник завдань у системі для забезпечення постійного доступу.

Кампанія з OceanMap Stealer (грудень 2023 — лютий 2024). Хакери використовували оновлену версію OceanMap Stealer — шкідливе ПЗ для крадіжки даних. OceanMap Stealer застосовував IMAP-протокол (протокол отримання пошти) для вилучення збережених облікових даних з браузерів, відправки цих даних зловмисникам через зашифровані канали.

Фішингові атаки на користувачів UKR.NET, Yahoo, ZimbraMail та Outlook Web Access. Користувачам відправляли листи, що ведуть на фальшиві сторінки входу до зазначених сервісів з метою отримати від них логіни та паролі.