Від фейкової інформації до кібернетичних атак: як російські кіберзлочинці продовжують завдавати шкоди Україні.

Компанія ESET, визнаний лідер у сфері інформаційної безпеки, підготувала аналіз діяльності APT-груп кіберзлочинців за період з квітня по вересень 2024 року. Протягом останніх шести місяців російські хакери продовжували свої атаки на українські організації, зокрема через розсилку електронних листів для здобуття початкового доступу, а також шляхом використання вразливостей для атак на веб-поштові сервери. Окрім того, кіберзлочинці реалізували нові дезінформаційні та психологічні операції, спрямовані на певні регіони України.

Зокрема, група Gamaredon активно реалізувала великі фішингові кампанії, залучаючи месенджери Telegram і Signal. У липні 2024 року фахівці ESET виявили незвичайний елемент, який був впроваджений групою Gamaredon. Цей елемент автоматично відкриває Telegram-канал "Хранители Одессы" у браузері за замовчуванням. Канал переповнений російською пропагандою і орієнтований на мешканців Одеського регіону.

Інша група, відома як Sandworm, впровадила новий бекдор для Windows, що отримав назву WrongSens (CERT-UA називає його QUEUESEED), а також шкідливі програми для Linux: LOADGRIP та BIASBOAT. Ці програми є складними шкідливими засобами, розробленими фахівцями, які мають глибоке розуміння внутрішньої архітектури Linux. Загрози були спеціально створені для функціонування виключно на цільових системах, використовуючи їхні ідентифікатори для декодування компонентів.

У лютому 2024 року було виявлено дезінформаційно-психологічну кампанію під назвою "Texonto", яка активно діяла з метою деморалізації населення України. Основним способом поширення інформації зловмисники обрали електронну пошту. Зокрема, у вересні 2024 року фахівці компанії ESET зафіксували листа "Texonto", що надійшов з адреси DCHC@headlineinteresting[.]pro, ймовірно, адресованого мешканцям Сумської області. Текст цього листа виглядав наступним чином:

Дорогі мешканці Сумщини!

Внаслідок російських авіаударів у регіоні виникли суттєві проблеми з постачанням електроенергії та води. Очікується, що без води та електрики місцеві мешканці залишаться протягом найближчих трьох тижнів.

Просимо вас в найближчі 48 годин придбати все необхідне для життя в екстрених умовах.

У додатку ви знайдете поради, які можуть підтримати вас у цей непростий час. Не забудьте переписати їх на аркуші паперу.

Інші групи кіберзлочинців, пов'язані з росією, часто атакували сервери вебпошти, наприклад, Roundcube та Zimbra, зазвичай за допомогою фішингових листів, які запускають відомі уразливості XSS. Крім зловмисників Sednit, націлених зокрема на урядові та пов'язані з оборонною галуззю організації у всьому світі, дослідники ESET виявили іншу групу GreenCube. Ця група кіберзлочинців, пов'язана з росією, викрадала електронні листи через уразливості XSS у Roundcube. З 2022 до 2024 року група GreenCube неодноразово націлювалася на урядові та оборонні організації в Греції, Польщі, Сербії та Україні.

Дослідники компанії ESET зафіксували значне зростання кількості атак, що здійснюються групою MirrorFace, яка має зв'язки з Китаєм. Якщо зазвичай їх основна мета — японські організації, то цього разу вони також націлилися на дипломатичну установу в Європейському Союзі. Окрім того, пов'язані з Китаєм APT-групи все частіше використовують відкритий код SoftEther VPN для забезпечення доступу до мереж своїх жертв.

Тим часом групи, пов'язані з Іраном, могли використовувати загрози для дипломатичного шпигунства. Ці групи скомпрометували кілька компаній з надання фінансових послуг в Африці, здійснювали кібершпигунські дії проти сусідніх країн -- Іраку та Азербайджану. Крім того, групи, пов'язані з Іраном, переслідували дипломатичних представників у Франції та освітні організації в Сполучених Штатах Америки.

Пов'язані з Північною Кореєю групи продовжували атакувати оборонні та аерокосмічні компанії в Європі та США, а також націлювалися на розробників криптовалют, аналітичні центри та неурядові організації. Одна з таких груп, Kimsuky, почала використовувати файли Microsoft Management Console, які зазвичай застосовують системні адміністратори та які можуть виконувати будь-які команди Windows. Крім того, кілька інших груп часто зловживали популярними хмарними сервісами, зокрема Google Drive, Microsoft OneDrive, Dropbox, Yandex Disk, pCloud, GitHub і Bitbucket. Також вперше було зафіксовано несанкціоноване використання хмарних сервісів Zoho APT-групою під назвою ScarCruft.

Дослідники ESET виявили, що в Азії кіберзлочини в основному націлені на державні структури, з акцентом на освітній сектор. Група Lazarus, асоційована з Північною Кореєю, продовжувала завдавати ударів по фінансовим та технологічним підприємствам на міжнародному рівні. У регіоні Близького Сходу ряд угруповань APT, пов'язаних з Іраном, активно атакували державні організації, при цьому найбільше постраждала Ізраїльська сторона від дій цих кіберзлочинців.

Слід підкреслити, що APT-групи представляють собою колективи висококваліфікованих хакерів, діяльність яких часто підтримується певними державами. Їх основною метою є отримання конфіденційної інформації з урядових структур, важливих осіб або стратегічних підприємств, при цьому вони намагаються залишитися непоміченими. Такі кіберзлочинні угрупування володіють значним досвідом і застосовують складні шкідливі програми, а також використовують раніше невідомі вразливості.

Саме для компаній критично важливо забезпечити високий рівень захисту через всебічний підхід до безпеки. Це включає не лише потужний захист пристроїв, але й впровадження розширеного виявлення та реагування на загрози, поглиблений аналіз даних у хмарі, а також шифрування інформації. Крім того, важливо усвідомлювати потенційні вектори атак і специфіку діяльності певних груп, інформація про які міститься в звітах щодо APT-загроз.

Команда дослідників ESET активно працює над створенням детальних технічних звітів, в яких регулярно оновлюються дані про активність окремих APT-груп. Це робиться з метою надання допомоги організаціям у захисті користувачів, критично важливої інфраструктури та інших ключових активів від цілеспрямованих кібератак.

Про нашу компанію:

ESET -- експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.

ESET в Україні: нові горизонти кібербезпеки

Майже 20 років продукти ESET офіційно представлені на території України. Починаючи з 2005 року, користувачі мають можливість безкоштовно звернутися за допомогою до служби технічної підтримки ESET в Україні, а також пройти курси навчання щодо використання продуктів компанії ESET. Користувачами ESET є найбільші українські та міжнародні компанії та організації.