ms.detector.media
08.09.2022 16:16
Російські хакери атакували українські організації, видаючи себе за Кіберполіцію, Starlink та Microsoft
Російські хакери атакували українські організації, видаючи себе за Кіберполіцію, Starlink та Microsoft
Група кіберзлочинців, вважають аналітики Google, діє проти України саме з політичних причин.

Об’єднання UAC-0098, що пов’язане з російською хакерською групою Conti, здійснило низку кібератак на українські та європейські організації за допомогою фішингових електронних листів, видаючи себе за Кіберполіцію України, представників Starlink, Microsoft та індійську мережу готелів. Про це повідомляє The Verge з посиланням на доповідь Threat Analysis Group, підрозділу Google, що відстежує спонсоровані державами кіберактивності.

Із квітня по серпень TAG відстежувала «зростання кількості фінансово вмотивованих зловмисників, які націлювалися на Україну і чия активність здається тісно пов’язана з російським урядом», — пишуть у TAG. У TAG вважають, що деякі учасники UAC-0098 є колишніми членами російської кіберзлочинної групи Conti, які змінили напрям своєї роботи  для боротьби з Україною.

Під час нещодавніх кампаній група надсилала фішингові електронні листи низці українських організацій готельної галузі нібито від Кіберполіції України, а також гуманітарним громадським організаціям в Італії — від зламаного акаунту індійської мережі готелів.

Під час інших фішингових кампаній зловмисники також видавали себе за представників Starlink. Ці електронні листи містили посилання на інсталятори шкідливого програмного забезпечення, замаскованого під ПЗ, необхідне для під’єднання інтернету через систему Starlink. 

Група, пов’язана з Conti, також використовувала вразливість Follina в системах Windows незабаром після того, як вона була вперше оприлюднена наприкінці травня цього року. Як повідомляють у TAG, у цій та інших атаках точно не відомо, які дії вжив UAC-0098 після вторгнення в систему.

Група, відома як UAC-0098, раніше використовувала банківську шкідливу програму IcedID для здійснення кібератак із метою вимагання коштів, але дослідники безпеки  Google кажуть, що зараз дії зловмисників є вмотивованими «і політично, і фінансово». Відповідно до аналізу TAG, члени цієї групи використовують свій досвід, щоб діяти як посередники первинного доступу — хакери, які спочатку порушують комп’ютерну систему і потім продають доступ до неї іншим зловмисникам.

Загалом, дослідники Google вказують на «розмивання меж між фінансово вмотивованими та урядово спонсорованими групами в Східній Європі», що є показником того, що зловмисники часто адаптують свої цілі до геополітичних інтересів у регіоні.

Нагадаємо, що в серпні уряд США запропонував винагороду в $10 млн за інформацію про російське угрупування Conti, хакери якого в травні проникли в державні установи Коста-Ріки.

 

ms.detector.media