Почти десять лет Украина испытывает инновационные кибератаки со стороны России. И Украина все чаще наносит ответные удары, особенно после полномасштабного вторжения России. Исследователи компании Malwarebytes говорят, что отслеживают новую хакерскую группу, которая с 2020 года проводила шпионские операции против проукраинских целей в центральной Украине и пророссийских на востоке Украины.
Почти десять лет Украина испытывает инновационные кибератаки со стороны России. И Украина все чаще наносит ответные удары, особенно после полномасштабного вторжения России. Исследователи компании Malwarebytes говорят, что отслеживают новую хакерскую группу, которая с 2020 года проводила шпионские операции против проукраинских целей в центральной Украине и пророссийских на востоке Украины.
Malwarebytes приписывает пять сделок с 2020 года до сейчас группе, которую она назвала Red Stinger, хотя исследователи имеют представление лишь о двух кампаниях, проведенных в прошлом году. Мотивы и расположение группировки пока неизвестны, но цифровые кампании заслуживают внимания своей настойчивостью, агрессивностью и отсутствием связей с другими известными участниками киберпространства.
Как сообщает Wired, одну из кампаний эксперты Malwarebytes назвали «Операция четыре». По их словам, она была нацелена на одного из украинских военных, работа которого заключается в обеспечении функционирования критически важной инфраструктуры, а также на других лиц, чья потенциальная ценность как источников информации менее очевидна. Во время кампании злоумышленники скомпрометировали устройства жертв, чтобы получить скриншоты и документы и даже записать звук с микрофонов.
Во время последней операции группа нацелилась на нескольких чиновников избирательных комиссий, которые проводили «референдумы» о присоединении к России временно оккупированных украинских территорий, учитывая Донецк и Мариуполь. Одной из жертв был советник Центральной избирательной комиссии России, а другой — человек, работающий в транспортной сфере, возможно на железной дороге, на Востоке Украины.
«Мы были удивлены тем, насколько масштабными были эти операции и хакеры смогли получить много информации», — говорит Роберто Сантос из Malwarebytes.
В российской Лаборатории Касперского утверждают, что за неизвестной группировкой стоят хакеры из Bad Magic. Россияне также подтвердили, что «загадочные» хакеры сосредоточились на правительственных, производственных и транспортных целях, расположенных на Донбассе.
«Вредное ПО и методы, использованные в этой кампании, не отличаются сложностью, но эффективны, а код не имеет никакого отношения к каким-либо известным кампаниям», — отмечают исследователи «Лаборатории Касперского».
Кампании начинались с фишинговых атак, в процессе которых распространялись вредоносные ссылки, ведущие к зараженным ZIP-файлам, вредоносным документам и специальным файлам Windows.
Через Backdoor хакеры загружали вредоносное программное обеспечение, благодаря чему выгружали данные, получали доступ к микрофонам устройств и т. д.
В Malwarebytes отмечают, что Red Stinger, похоже, разработала собственные хакерские инструменты и повторно использует характерные сценарии и инфраструктуру, в частности, определенные вредоносные генераторы URL-адресов и IP-адресов.
Хакеры из Red Stinger до сих пор активны. Теперь, когда подробности об операциях группировки стали достоянием общественности, она может изменить методы и инструменты, чтобы не попасться.
