Хакери групи Fighting Ursa (APT28 або Fancy Bear) російської військової розвідки вставляють в рекламу розкішних автомобілів шкідливі програми для збору облікових даних, намагаючись ввести в оману дипломатів.
Головні тези:
- Хакери ГРУ РФ використовують рекламу для впровадження шкідливих програм на комп’ютери західних дипломатів.
- Хакери з ГРУ активно адаптуються до нових методів захисту та швидко реагують на виклики кібербезпеки.
- Шпигунське програмне забезпечення розповсюджується через месенджери Signal та Telegram, маскуючи себе під легітимні файли.
Російські хакери прагнули зламати комп’ютери західних дипломатів
Про це повідомили аналітики дослідницького відділу Unit 42 з американської компанії Palo Alto Networks.
Зазначається, що нова схема почала працювати ще в березні, і, ймовірно, була спрямована на дипломатів, хоча аналітики не знають, скільки всього людей могло стати мішенню цієї схеми.
В одній рекламі хакери створили оголошення позашляховика Audi Q7 Quattro 2009 року випуску приблизно за 5 500 євро. Пост рекламує «Дипломатичний автомобіль на продаж» і містить контактну інформацію та шість зображень автомобіля з різних ракурсів.
Вебсайт із зображеннями та рекламою розміщено на звичайних вебхостах, що ускладнює традиційним кіберінструментам позначати їх як шкідливі, а компаніям — блокувати доступ до цих сайтів.
Аналітики заявили, що за цією схемою стоїть група Fighting Ursa, яку інші фірми з кібербезпеки називають APT28 або Fancy Bear, на основі онлайн-інфраструктури та шкідливого програмного забезпечення, використаного нею в цій схемі.
Майкл Сікорскі, віцепрезидент відділу розвідки загроз і головний технічний директор Unit 42, пояснив, чому хакери зосереджені саме на автомобілях.
За його словами, дипломати постійно прагнуть якомога швидше купити та продати автомобілі з дипломатичними номерами через брак часу на підготовку до переїзду.
Що відомо про кібератаки РФ на мобільні пристрої ЗСУ
Російські хакери активізували кібератаки на мобільні телефони українських військових. Фахівці розповіли про особливості атак та як захиститися.
Як зазначається, хакери РФ збільшили кількість кібератак на мобільні пристрої українських військових.
У другому півріччі 2023 року хакери, пов'язані з ГРУ РФ, активно використовували месенджери та соціальну інженерію для поширення шкідливого програмного забезпечення.
Зокрема під час атак російські хакери роблять наступне:
використовують легітимні продукти як маскування: хакери маскували шпигунські програми під інсталятори легітимних програм, таких як система ситуаційної обізнаності "Кропива";
поширюють шкідливе програмне забезпечення (ПЗ) через Signal та Telegram: зловмисники використовували ці месенджери для розповсюдження шкідливих файлів, маскуючи їх під інструкції з кібербезпеки від CERT-UA;
швидко реагують та адаптуються: хакери швидко реагували на нові методи захисту та розробляли нові вектори атак;
проводять таргетинг на ПЗ для Windows: більшість атак через месенджери мали на меті поширення шкідливого ПЗ для Windows, адже багато військових використовують комп'ютерні версії месенджерів;
використовують файли-приманки: зловмисники розповсюджували шкідливі програми у вигляді Zip чи Rar архівів, маскуючи їх під оновлення сертифікатів до комплексу ситуаційної обізнаності Delta.
