Європейських постачальників зброї в Україну, в тому числі компанії в Болгарії, атакує пов'язана з Росією хакерська група Fancy Bear, також відома як APT28 і Sednit. Про це повідомляє Novinite, посилаючись на звіт компанії ESET (міжнародного розробника антивірусного програмного забезпечення і рішень в області комп'ютерної безпеки).

Зазначається, що хакерські атаки, які фіксують з 2023 року, використовують вразливості в програмному забезпеченні сервісів онлайн-пошти, таких як Roundcube, Horde, MDaemon і Zimbra, щоб отримати доступ до електронних листів керівників збройових компаній і державних службовців у багатьох країнах. Остання виявлена атака відбулася 17 квітня.

Як повідомляє ESET, Fancy Bear задіяв комбінацію фішингу та міжсайтового скриптингу для використання вразливостей "нульового дня" та інших. Сліди втручання були вперше виявлені в електронних листах, надісланих двом українським державним оборонним компаніям та цивільній фірмі, яка займається авіаперевезеннями, у листопаді 2024 року.

Торік жертвами цих кібератак стали оборонні компанії в Болгарії та Румунії, які виробляють зброю радянських зразків, а також регіональні органи влади в Греції, Камеруну та Сербії, військовослужбовці в Еквадорі. Крім того, фішингові атаки були спрямовані на електронні поштові скриньки високопосадовців України з метою викрадення конфіденційної інформації про військові поставки та операції.

Як йдеться у звіті, основною метою кампанії Fancy Bear є збір розвідувальної інформації про оборонний сектор України, а також націленість на організації в Латинській Америці, ЄС та Африці. ESET виявила щонайменше 17 організацій, на які була спрямована ця кампанія.

Хакери використовували спам-розсилки, які імітували нібито звичайні новини про війну в Україні, з такими темами, як "СБУ заарештувала в Харкові банкіра, який працював на російську військову розвідку" або "Путін прагне, щоб Трамп прийняв російські умови". Ці повідомлення були розроблені таким чином, щоб спонукати одержувачів перейти за шкідливими посиланнями або відкрити скомпрометовані сторінки електронної пошти.

Після того, як користувачі були скомпрометовані, було розгорнуто спеціальне корисне навантаження JavaScript для викрадення даних з облікових записів електронної пошти, включаючи облікові дані для входу, контакти з адресної книги та історію повідомлень. У деяких випадках зловмисникам також вдавалося викрасти інформацію про двофакторну автентифікацію, що потенційно дозволяє обійти заходи безпеки.

Нещодавно французька влада звинуватила Fancy Bear у націленості на французькі установи, стверджуючи, що група намагалася зірвати французькі вибори у 2017 році і продовжувала кібератаки на різні установи до 2021 року. Міністерство закордонних справ Франції попередило про триваючу російську кіберактивність, спрямовану на дестабілізацію європейських партнерів.

У ESET заявили, що діяльність Fancy Bear спрямована на компрометацію військових постачальників до України та на інших регіональних суб'єктів, і підкреслили постійну увагу з боку РФ до збору розвідувальної інформації в умовах російсько-української війни.

Нагадаємо, хакерська група Cozy Bear, пов'язана з російськими спецслужбами, маскуючись під "одне з найбільших" міністерств закордонних справ в Європейському Союзі, намагалася обманом змусити європейських дипломатів завантажити шкідливе програмне забезпечення.

Представники ОПК та Сил оборони України зазнали нових кібератак

Новини від Корреспондент.net в Telegram та WhatsApp. Підписуйтесь на наші канали https://t.me/korrespondentnet та WhatsApp