Европейских поставщиков оружия в Украину, в том числе компании в Болгарии, атакует связанная с Россией хакерская группа Fancy Bear, также известная как APT28 и Sednit. Об этом сообщает Novinite, ссылаясь на отчет компании ESET (международного разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности).

Отмечается, что хакерские атаки, которые фиксируют с 2023 года, используют уязвимости в программном обеспечении сервисов онлайн-почты, таких как Roundcube, Horde, MDaemon и Zimbra, чтобы получить доступ к электронным письмам руководителей оружейных компаний и государственных служащих во многих странах. Последняя выявленная атака произошла 17 апреля.

Как сообщает ESET, Fancy Bear задействовал комбинацию фишинга и межсайтового скриптинга для использования уязвимостей "нулевого дня" и других. Следы вмешательства были впервые обнаружены в электронных письмах, отправленных двум украинским государственным оборонным компаниям и гражданской фирме, занимающейся авиаперевозками, в ноябре 2024 года.

В прошлом году жертвами этих кибератак стали оборонные компании в Болгарии и Румынии, которые производят оружие советских образцов, а также региональные органы власти в Греции, Камеруне и Сербии, военнослужащие в Эквадоре. Кроме того, фишинговые атаки были направлены на электронные почтовые ящики высокопоставленных лиц Украины с целью кражи конфиденциальной информации о военных поставках и операциях.

Как говорится в отчете, основной целью кампании Fancy Bear является сбор разведывательной информации об оборонном секторе Украины, а также нацеленность на организации в Латинской Америке, ЕС и Африке. ESET выявила как минимум 17 организаций, на которые была направлена эта кампания.

Хакеры использовали спам-рассылки, которые имитировали якобы обычные новости о войне в Украине, с такими темами, как "СБУ арестовала в Харькове банкира, который работал на российскую военную разведку" или "Путин стремится, чтобы Трамп принял российские условия". Эти сообщения были разработаны таким образом, чтобы побудить получателей перейти по вредоносным ссылкам или открыть скомпрометированные страницы электронной почты.

После того, как пользователи были скомпрометированы, было развернуто специальное полезное нагрузочное JavaScript для кражи данных из учетных записей электронной почты, включая учетные данные для входа, контакты из адресной книги и историю сообщений. В некоторых случаях злоумышленникам также удавалось украсть информацию о двухфакторной аутентификации, что потенциально позволяет обойти меры безопасности.

Недавно французские власти обвинили Fancy Bear в нацеленности на французские учреждения, утверждая, что группа пыталась сорвать французские выборы в 2017 году и продолжала кибератаки на различные учреждения до 2021 года. Министерство иностранных дел Франции предупредило о продолжающейся российской киберактивности, направленной на дестабилизацию европейских партнеров.

В ESET заявили, что деятельность Fancy Bear направлена на компрометацию военных поставщиков в Украину и на других региональных субъектов, и подчеркнули постоянное внимание со стороны РФ к сбору разведывательной информации в условиях российско-украинской войны.

Напомним, хакерская группа Cozy Bear, связанная с российскими спецслужбами, маскируясь под "одно из крупнейших" министерств иностранных дел в Европейском Союзе, пыталась обманом заставить европейских дипломатов загрузить вредоносное программное обеспечение.

Представители ОПК и Сил обороны Украины подверглись новым кибератакам

Новости от Корреспондент.net в Telegram и WhatsApp. Подписывайтесь на наши каналы https://t.me/korrespondentnet и WhatsApp