Российские хакеры атакуют компании в странах, поставляющих оружие в Украину

Связанная с Россией хакерская группа Fancy Bear, также известная как APT28 и Sednit, нацелилась на европейских поставщиков оружия на Украину, в том числе на компании в Болгарии.

Об этом сообщает Novinite, ссылаясь на отчет компании ESET (международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности), передает Укринформ.

Хакерские атаки, фиксирующие с 2023 года, используют уязвимости в программном обеспечении сервисов онлайн-почты, таких как Roundcube, Horde, MDaemon и Zimbra, чтобы получить доступ к электронным письмам руководителей оружейных компаний и государственных служащих во многих странах. Последняя обнаруженная атака произошла 17 апреля.

ESET сообщает, что Fancy Bear задействовал комбинацию фишинга и межсайтового скриптинга для использования уязвимостей «нулевого дня» и других. Следы вмешательства были впервые обнаружены в электронных письмах, направленных двум украинским государственным оборонным компаниям и гражданской фирме, занимающейся авиаперевозками, в ноябре 2024 года.

В 2024 году жертвами этих кибератак стали оборонные компании в Болгарии и Румынии, производящие оружие советских образцов, а также региональные органы власти в Греции, Камеруне и Сербии, военнослужащие в Эквадоре. Кроме того, фишинговые атаки были направлены на электронные почтовые ящики чиновников Украины с целью похищения конфиденциальной информации о военных поставках и операциях.

В отчете говорится, что основной целью кампании Fancy Bear является сбор разведывательной информации об оборонном секторе Украины, а также нацеленность на организации в Латинской Америке, ЕС и Африке. ESET обнаружила не менее 17 организаций, на которые была направлена эта кампания.

Пропаганда и агенты влияния: россия превращает Болгарию в «троянского коня»

Хакеры использовали спам-рассылки, имитировавшие якобы обычные новости о войне в Украине, с такими темами, как «СБУ арестовала в Харькове банкира, работавшего на российскую военную разведку» или «Путин стремится, чтобы Трамп принял российские условия». Эти сообщения были разработаны таким образом, чтобы побудить получателей перейти по вредоносным ссылкам или открыть скомпрометированные страницы электронной почты.

После того, как пользователи были скомпрометированы, была развернута специальная полезная нагрузка JavaScript для похищения данных из учетных записей электронной почты, включая учетные данные для входа, контакты из адресной книги и историю сообщений. В некоторых случаях злоумышленникам также удавалось угнать информацию о двухфакторной аутентификации, что потенциально позволяет обойти меры безопасности.

Французские власти также недавно обвинили Fancy Bear в нацеленности на французские учреждения, утверждая, что группа пыталась сорвать французские выборы в 2017 году и продолжала кибератаки на разные учреждения до 2021 года. Министерство иностранных дел Франции предупредило о продолжающейся российской киберактивности, направленной на дестабилизацию европейских партнеров.

В ESET отметили, что деятельность Fancy Bear направлена на компрометацию военных поставщиков в Украину и других региональных субъектов, и подчеркнули постоянное внимание со стороны РФ к сбору разведывательной информации в условиях российско-украинской войны.