Российские хакеры атакуют поставщиков оружия для Украины

Пользующаяся дурной славой российская хакерская группа Fancy Bear атаковала оборонные предприятия, поставляющие оружие в Украину.

Таковы результаты недавнего расследования, проведённого словацкой компанией Eset из Братиславы, работающей в области компьютерной безопасности.

Согласно полученным данным, атаки были направлены в первую очередь против производителей советской военной техники в Болгарии, Румынии и в Украине, играющих ключевую роль в обороне от российского вторжения. Кроме того, пострадали оборонные компании в Африке и Южной Америке.

Хакерская группировка Fancy Bear также известна под названиями Sednit или APT28. Считается, что она также ответственна за кибератаки на немецкий Бундестаг (2015), американского политика Хиллари Клинтон (2016) и штаб-квартиру партии немецких социал-демократов (2023).

По мнению экспертов, эта группа является частью более масштабной стратегии российских спецслужб по использованию кибератак в качестве средства политического влияния и дестабилизации. Помимо шпионажа, значительное внимание уделяется целенаправленным кампаниям по дезинформации против западных демократических стран.

Атаки с помощью манипуляций системами веб-почты

В ходе нынешней шпионской кампании, получившей название «Операция RoundPress», хакеры использовали уязвимости в популярном программном обеспечении (ПО) для веб-почты, среди которого программы Roundcube, Zimbra, Horde и MDaemon. Ряд уязвимостей можно было устранить путём правильного обслуживания ПО. Однако в одном случае пострадавшие компании были практически бессильны, поскольку злоумышленники смогли использовать ранее неизвестную и поэтому незакрытую уязвимость в MDaemon.

Согласно выводам исследователей Eset, атаки как правило осуществлялись с помощью манипулируемых электронных писем, замаскированных под новостные сообщения. Отправители представляются авторитетными источниками, такими как издание Kyiv Post или болгарский новостной портал News.bg. Как только письмо открывается в браузере, запускается скрытый вредоносный код. При этом хакеры успешно обходят спам-фильтры.

Обход двухфакторной защиты

Анализируя атаки, эксперты из Братиславы смогли выявить вредоносное ПО «SpyPress.MDAEMON». Хакерская программа способна не только считывать данные доступа и отслеживать электронную почту. Она может даже отменять двухфакторную аутентификацию. Двухфакторная аутентификация (сокращённо 2FA) - это дополнительная мера безопасности при входе в онлайн-аккаунты или для доступа к конфиденциальным данным. Она гарантирует, что для получения доступа нужен не только пароль, но и второй аутентификатор. Однако хакерам из Fancy Bear в нескольких случаях удалось обойти защиту 2FA и получить постоянный доступ к почтовым ящикам, используя так называемые «пароли-приложения».

«Многие компании используют устаревшие серверы веб-почты», - сказал исследователь из Eset Матьё Фау. «Простого отображения письма в браузере без какого-либо активного клика получателем может быть достаточно для запуска вредоносного кода».