🚀 Trustee Plus - картка європейського банку і криптогаманець. Встанови додаток 👉
Наталя ХандусенкоГаряченьке
12 грудня 2024, 11:58
2024-12-12
російські хакери використовують інфраструктуру інших кіберзлочинців, щоби дістатися до пристроїв ЗСУ, підключених до Starlink — повідомляє Microsoft
російські хакери угрупування Secret Blizzard, також відоме як Turla та пов’язане з розвідкою рф, пішли незвичним шляхом — вони привласнили інфраструктуру інших кіберзлочинців і використовували її для інфікування пристроїв українських військових на передовій.
Щонайменше у двох випадках цього року хакери Secret Blizzard використовувала сервери та шкідливе програмне забезпечення інших кіберзлочинців для атак пристроїв українських військових, повідомила Microsoft у середу.
В одному випадку хакери використовували інфраструктуру хакерської групи Storm-1919, в іншому — привласнили ресурси Storm-1837, теж російські хакери, які атакували українських операторів безпілотників.
З березня до квітня цього року угрупування Secret Blizzard використовувало бота Amadey, який Storm-1919 зазвичай використовує для криптозлому.
«Secret Blizzard або використовував шкідливе програмне забезпечення Amadey як послугу (MaaS), або таємно отримував доступ до командно-контрольних панелей Amadey (C2), щоб завантажити PowerShell-дроппер на цільові пристрої. Дроппер PowerShell містив корисне навантаження Amadey, закодоване в Base64, доповнене кодом, який викликав запит до інфраструктури Secret Blizzard C2», — повідомляють у Microsoft.
Кінцевою метою було встановити Tavdig, бекдор Secret Blizzard, який використовується для ведення розвідки на об'єктах, що цікавлять зловмисників. У зразку Amdey Microsoft виявила зібрану інформацію з буферів обміну пристроїв і зібрані паролі з браузерів. Потім він встановлював спеціальний інструмент розвідки, який «вибірково розгортався на пристроях, що становлять подальший інтерес для суб'єкта загрози — наприклад, на пристроях, що виходять з IP-адрес Starlink», пише Ars Technica.
Коли хакери вирішували, що ціль має високу цінність, встановлювали Tavdig для збору інформації, включаючи «інформацію про користувача, мережеву статистику та встановлені патчі, а також для імпорту налаштувань реєстру на скомпрометований пристрій».
«Це не рідкість, коли зловмисники використовують однакову тактику або інструменти, хоча ми рідко бачимо докази того, що вони компрометують і використовують інфраструктуру інших акторів», — розповів Шеррод ДеГріппо, директор Threat Intelligence Strategy в Microsoft, в інтерв’ю виданню The Hacker News.
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу.