Російську хакерську групу APT28 (BlueDelta), яку пов’язують із російським урядом, піймали при зламі поштових серверів Roundcube з метою шпигування за установами українського уряду та військовими формуваннями, пов’язаними з Повітряними силами. Про це йдеться в матеріалі Security Week.
За даними компанії Recorded Future у співпраці з CERT-UA, українською урядовою командою реагування на комп’ютерні надзвичайні події, APT28 (BlueDelta) використовувала вразливості у вебпрограмному забезпеченні Roundcube (1.4.1) для розвідки та викрадання інформації. Вони перенаправляли вхідні електронні листи й збирали дані про користувачів та адресні книги.
Група використовувала електронні листи з новинами про війну між росією та Україною, щоб змусити людей відкривати пошту зі шкідливими вкладеннями. Після відкриття вкладення сервери Roundcube ставали жертвою атаки. Загалом подібні електронні листи було відправлено на адреси понад 40 українських організацій.
У Recorded Future зазначають, що додаток містив JavaScript-код, який виконував додаткові JavaScript-скрипти з інфраструктури хакерської команди.
«Група проявляла високий рівень підготовки, швидко перетворюючи новинний контент на приманки для одержувачів. Спірфішингові електронні листи містили новини, пов’язані з Україною, з темою та змістом, що віддзеркалювали офіційні джерела медіа», – зазначили у Recorded Future.
APT28 (BlueDelta) пов’язана з російським військовим розвідувальним відомством ГРУ. Раніше вона вже використовувала вразливості у програмному забезпеченні Outlook Microsoft. Хакери спеціалізуються на цифровому шпигунстві в Україні та Європі, насамперед за урядовими й військовими організаціями.
Recorded Future оприлюднила інформацію, яка може допомогти організаціям виявляти зловмисну діяльність на своїх серверах. Вони також рекомендують вимкнути HTML і JavaScript у вкладеннях електронних листів та використовувати фільтри для перевірки достовірності відправників.
Оскільки спірфішингові електронні листи можуть виглядати дуже переконливо і маскуватися під справжні повідомлення від відомих джерел або організацій, важливо бути обережним під час роботи з електронною поштою, особливо якщо вона містить вкладення або посилання.
«Цей кейс – чудовий зразок спільної роботи CERT-UA та міжнародної компанії Recorded Future, що дозволила ідентифікувати інфраструктуру, з якої угруповання АРТ28 здійснювало атаки на українські організації», – зазначив заступник голови Держспецзв’язку Віктор Жора.
Війна на українському кіберфронті почалася у 2014 році, коли росія запустила масштабну DDoS-атаку на Дарницьку ТЕЦ.
«Через три дні після лютневого вторгнення росії кібератаки на державно-військовий сектор України зросли на 196% порівняно з довоєнним періодом. Рекордом стали 275 DDoS-атак на день. Найпотужніші перевищували 100 Gbps», – пише у своїй колонці засновник групи компаній GIGAGROUP, CEO телеком-оператора GigaTrans Назарій Курочко.
У 2022 році урядова команда реагування на комп’ютерні надзвичайні події CERT-UA зареєструвала 2194 кібератаки, чверть із них – на органи влади.
CERT-UA також опублікувала індикатори кіберзагроз.