Хакеры группы Fighting Ursa (APT28 или Fancy Bear) российской военной разведки вставляют в рекламу роскошных автомобилей вредоносные программы для сбора учетных данных, пытаясь ввести в заблуждение дипломатов.
Главные тезисы
- Хакеры ГРУ РФ использовали рекламу роскошных автомобилей для внедрения вредоносных программ на компьютеры западных дипломатов.
- Аналитики отмечают активное адаптирование хакеров к новым методам защиты и быструю реакцию на вызовы кибербезопасности.
- Хакеры маскируют шпионское программное обеспечение под легитимные файлы, распространяют через мессенджеры Signal и Telegram, а также быстро действуют и адаптируются к защите.
Российские хакеры стремились сломать компьютеры западных дипломатов
Об этом сообщили аналитики исследовательского отдела Unit 42 из американской компании Palo Alto Networks.
Отмечается, что новая схема заработала еще в марте, и, вероятно, была направлена на дипломатов, хотя аналитики не знают, сколько всего людей могло стать мишенью этой схемы.
В одной рекламе хакеры создали объявление внедорожника Audi Q7 Quattro 2009 года выпуска примерно за 5500 евро. Пост рекламирует «Дипломатический автомобиль для продажи» и содержит контактную информацию и шесть изображений автомобиля с разных ракурсов.
Вебсайт с изображениями и рекламой размещен на обычных вебхостах, что усложняет традиционным киберинструментам обозначать их как вредные, а компаниям блокировать доступ к этим сайтам.
Аналитики заявили, что по этой схеме стоит группа Fighting Ursa, которую другие фирмы по кибербезопасности называют APT28 или Fancy Bear, на основе онлайн-инфраструктуры и вредоносного ПО, использованного ею в этой схеме.
Майкл Сикорски, вице-президент отдела разведки угроз и главный технический директор Unit 42, объяснил, почему хакеры сосредоточены именно на автомобилях.
По его словам, дипломаты постоянно стремятся как можно скорее купить и продать автомобили с дипломатическими номерами из-за нехватки времени на подготовку к переезду.
Что известно о кибератаках РФ на мобильных устройствах ВСУ
Российские хакеры активизировали кибератаки на мобильных телефонах украинских военных. Специалисты рассказали об особенностях атак и как защититься.
Как отмечается, хакеры РФ увеличили количество кибератак на мобильных устройствах украинских военных.
Во втором полугодии 2023 года хакеры, связанные с ГРУ РФ, активно использовали мессенджеры и социальную инженерию для распространения вредоносного программного обеспечения.
В частности, во время атак российские хакеры делают следующее:
используют легитимные продукты в качестве маскировки: хакеры маскировали шпионские программы под инсталляторы легитимных программ, таких как система ситуационной осведомленности "Кропива";
распространяют вредоносное ПО через Signal и Telegram: злоумышленники использовали эти мессенджеры для распространения вредоносных файлов, маскируя их под инструкции по кибербезопасности от CERT-UA;
быстро реагируют и адаптируются: хакеры быстро реагировали на новые методы защиты и разрабатывали новые векторы атак;
проводят таргетинг на ПО для Windows: большинство атак через мессенджеры преследовали цель распространения вредоносного ПО для Windows, ведь многие военные используют компьютерные версии мессенджеров;
используют файлы-приманки: злоумышленники распространяли вредоносные программы в виде Zip или Rar архивов, маскируя их под обновление сертификатов в комплекс ситуационной осведомленности Delta.
