Майже десять років Україна зазнає інноваційних кібератак з боку росії. І Україна все частіше завдає ударів у відповідь, особливо після повномасштабного вторгнення рф. Дослідники компанії Malwarebytes кажуть, що відстежують нову хакерську групу, яка з 2020 року проводила шпигунські операції проти як проукраїнських цілей у центральній Україні, так і проросійських на сході України.
Майже десять років Україна зазнає інноваційних кібератак з боку росії. І Україна все частіше завдає ударів у відповідь, особливо після повномасштабного вторгнення рф. Дослідники компанії Malwarebytes кажуть, що відстежують нову хакерську групу, яка з 2020 року проводила шпигунські операції проти як проукраїнських цілей у центральній Україні, так і проросійських на сході України.
Malwarebytes приписує п’ять операцій з 2020 року до нині групі, яку вона назвала Red Stinger, хоча дослідники мають уявлення лише про дві кампанії, проведені минулого року. Мотиви та прихильність угруповання поки що невідомі, але цифрові кампанії заслуговують на увагу своєю наполегливістю, агресивністю та відсутністю зв’язків з іншими відомими учасниками кіберпростору.
Як повідомляє Wired, одну з кампаній експерти Malwarebytes назвали «Операція чотири». За їхніми словами, її було націлено на одного з українських військових, робота якого полягає у забезпеченні функціонування критично важливої інфраструктури, а також на інших осіб, чия потенційна цінність як джерел інформації менш очевидна. Під час цієї кампанії зловмисники скомпрометували пристрої жертв, щоб отримати скриншоти та документи та навіть записати звук із мікрофонів.
Під час останньої операції група націлилася на кількох чиновників виборчих комісій, які проводили «референдуми» про приєднання до рф тимчасово окупованих українських територій, враховуючи Донецьк та Маріуполь. Однією із жертв був радник Центральної виборчої комісії рф, а іншою — людина, яка працює в транспортній сфері, можливо на залізниці, на Сході України.
«Ми були здивовані тим, наскільки масштабними були ці операції, і хакери змогли отримати багато інформації», — каже Роберто Сантос із Malwarebytes.
У російській «Лабораторії Касперського» стверджують, що за невідомим угрупуванням стоять хакери з Bad Magic. Росіяни також підтвердили, що «загадкові» хакери зосередилися на урядових, виробничих та транспортних цілях, що розташовані на Донбасі.
«Шкідливе ПЗ та методи, використані в цій кампанії, не відрізняються складністю, але є ефективними, а код не має жодного стосунку до якихось відомих кампаній», — зазначають дослідники «Лабораторії Касперського».
Кампанії починалися із фішингових атак, у процесі яких поширювалися шкідливі посилання, що вели до заражених ZIP-файлів, шкідливих документів і спеціальних файлів Windows.
Через Backdoor хакери завантажували шкідливе програмне забезпечення, завдяки чому вивантажували дані, отримували доступ до мікрофонів пристроїв і т. д.
У Malwarebytes зазначають, що Red Stinger, схоже, розробила власні хакерські інструменти та повторно використовує характерні сценарії та інфраструктуру, зокрема певні шкідливі генератори URL-адрес та IP-адрес.
Хакери з Red Stinger досі є активними. Тепер, коли подробиці про операції угруповання стали надбанням громадськості, воно може змінити методи та інструменти, щоб не попастися.
