Российская хакерская группа Fancy Bear атакует европейских поставщиков оружия для Украины

Европейских поставщиков оружия в Украину, в том числе компании в Болгарии, атакует связанная с Россией хакерская группа Fancy Bear, также известная как APT28 и Sednit.

Об этом сообщает Novinite, ссылаясь на отчет компании ESET (международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности).

Отмечается, что хакерские атаки, фиксируемые с 2023 года, используют уязвимости в программном обеспечении сервисов онлайн-почты, таких, как Roundcube, Horde, MDaemon и Zimbra, чтобы получить доступ к электронным письмам руководителей оружейных компаний и государственных служащих во многих странах. Последняя выявленная атака произошла 17 апреля.

Как сообщает ESET, Fancy Bear использовал комбинацию фишинга и межсайтового скриптинга для использования уязвимостей "нулевого дня" и других. Следы вмешательства впервые были обнаружены в электронных письмах, отправленных двум украинским государственным оборонным компаниям и гражданской фирме, занимающейся авиаперевозками, в ноябре 2024 года.

В прошлом году жертвами этих кибератак стали оборонные компании в Болгарии и Румынии, которые производят оружие советских образцов, а также региональные органы власти в Греции, Камеруне и Сербии, военнослужащие в Эквадоре. Кроме того, фишинговые атаки были направлены на электронные почтовые ящики высокопоставленных чиновников Украины с целью похищения конфиденциальной информации о военных поставках и операциях.

Как говорится в отчете, основной целью кампании Fancy Bear является сбор разведывательной информации об оборонном секторе Украины, а также нацеленность на организации в Латинской Америке, ЕС и Африке. ESET выявила по меньшей мере 17 организаций, на которые была направлена эта кампания.

Хакеры использовали спам-рассылки, которые имитировали якобы обычные новости о войне в Украине, с такими темами, как "СБУ арестовала в Харькове банкира, который работал на российскую военную разведку" или "Путин стремится, чтобы Трамп принял российские условия". Эти сообщения были разработаны таким образом, чтобы побудить получателей перейти по вредоносным ссылкам или открыть скомпрометированные страницы электронной почты.

После того как пользователи были скомпрометированы, было развернуто специальное полезное программное обеспечение на базе JavaScript для похищения данных из учетных записей электронной почты, включая учетные данные для входа, контакты из адресной книги и историю сообщений. В некоторых случаях злоумышленникам также удавалось похитить информацию о двухфакторной аутентификации, что потенциально позволяет обойти меры безопасности.

Недавно французские власти обвинили Fancy Bear в нацеленности на французские учреждения, утверждая, что группа пыталась сорвать французские выборы в 2017 году и продолжала кибератаки на различные учреждения до 2021 года. Министерство иностранных дел Франции предупредило о продолжающейся российской киберактивности, направленной на дестабилизацию европейских партнеров.

В ESET заявили, что деятельность Fancy Bear нацелена на компрометацию военных поставщиков в Украину и других региональных субъектов, и подчеркнули постоянное внимание со стороны РФ к сбору разведывательной информации в условиях российско-украинской войны.