Кибератаки, осуществляемые российскими шпионами, снова направлены на Украину и её союзников. Компания по кибербезопасности ESET сообщила о новой активности российских хакеров, вероятно, из группы Sednit (также известной как Fancy Bear).
Об этом сообщает ProIT
На этот раз под прицелом оказались украинские государственные учреждения, оборонный сектор и транспортные компании. Кроме того, хакеры атакуют оборонные фирмы Болгарии и Румынии, которые производят оружие советских образцов для Вооруженных сил Украины. Также под угрозой оказались правительства стран Африки, Европейского Союза и Южной Америки.
Методы атак российских кибершпионов
Согласно информации ESET, группа Sednit использует письма с эксплойтом XSS, который запускает вредоносный JavaScript-код в окне браузера, когда жертва открывает свою электронную почту. Это позволяет хакерам просматривать и перехватывать только те конфиденциальные данные, к которым имеет доступ учетная запись пользователя.
Чтобы шпионская программа сработала, жертва должна открыть письмо на уязвимом веб-портале. Хакеры тщательно маскируют свои сообщения, пытаясь обойти фильтры спама, представляясь авторитетными медиа, такими как Kyiv Post или болгарский News.bg. В темах писем используются громкие заголовки, например:
«СБУ арестовала банкира, который работал на вражескую военную разведку в Харькове»
или
«Путин добивается от Трампа принятия российских условий в двусторонних отношениях»
.
Кража персональных данных: как это происходит
Злоумышленники запускают компоненты JavaScript, такие как SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE и SpyPress.ZIMBRA, которые могут украсть учетные данные, перехватывать адресные книги, контакты, истории входов и сообщения электронной почты. В частности, SpyPress.MDAEMON способен обойти двухфакторную аутентификацию, перехватывая секретные коды и создавая пароли программ, которые предоставляют доступ к почтовым ящикам.
Группа Sednit, действующая с 2004 года, также известна под названиями APT28, Fancy Bear, Forest Blizzard или Sofacy. Министерство юстиции США назвало эту группу одной из ответственных за взлом Национального комитета Демократической партии (DNC) перед выборами 2016 года, связывая её с ГРУ.
По данным исследователей, серверы веб-почты типа Roundcube и Zimbra стали основными мишенями для нескольких шпионских групп, таких как Sednit, GreenCube и Winter Vivern, в течение последних двух лет.
Количество российских кибератак на Украину возросло на 48% во втором полугодии 2024 года, согласно отчету CERT-UA. Специалисты отмечают, что основной вектор атак — это сбор разведданных, которые могут повлиять на оперативную ситуацию на фронте. В частности, российские хакеры нацелены на системы ситуационной осведомленности и специализированные оборонные предприятия.
Компания ESET, основанная в 1992 году, является международным разработчиком антивирусного программного обеспечения и решений в области компьютерной безопасности для корпоративных и домашних пользователей.