За даними дослідників безпеки, кібернаступ на Україну продовжується зловмисними атаками та поширенням дезінформації та фейкових новин.

Згідно з дослідженням компанії Mandiant, російські, проросійські та білоруські кібератаки використовували найповніший набір методів для досягнення «тактичних і стратегічних цілей, безпосередньо пов’язаних із самим конфліктом».

Однак вплив відчувався ширше, оскільки хакери, які працюють на інші країни, включаючи Китай та Іран, намагаються просувати і свої плани.

«Хоча ці операції становили величезну загрозу для України, вони також загрожували США та іншим західним країнам», – кажуть дослідники Mandiant. «У результаті, ми очікуємо, що такі операції, включаючи операції, пов’язані з кіберзагрозами та іншими потенційно руйнівними атаками, триватимуть у міру розвитку конфлікту».

Ще до початку російського вторгнення в Україну, у січні, країна та веб-сайти її уряду піддалися зіпсуванню та фальсифікації , а російських хакерів звинувачували в атаці.

Росія вторглася 24 лютого. Напередодні Державна служба спеціального зв’язку та захисту інформації України повідомила, що сайти Міністерства закордонних справ, Міністерства оборони, Служби безпеки та різних банків, зокрема, зазнали відключень через DDoS-атаку.

Відтоді кібернаступи тривають.

«Поширилися узгоджені інформаційні операції, включаючи ті, які збігалися з руйнівною діяльністю кіберзагроз, до кампаній, що використовують скоординовані та неавтентичні мережі облікових записів для просування сфабрикованого вмісту та бажаних наративів на різних платформах соціальних мереж, веб-сайтах і форумах», – кажуть дослідники Mandiant.

Що стосується Росії, дослідники кажуть, що більшість поточних дій є «руйнівною» і включає розгортання шкідливих програм wiper.

ESET задокументував штами, зокрема CaddyWiper , які використовуються в цільових обмежених кампаніях. Деякі варіанти wiper виявлено в мережах українських організацій.

Інша версія зловмисного програмного забезпечення wiper, що отримала назву Junkmail, була запущена в мережі, що належить українській організації, за кілька годин до виступу Зеленського перед Конгресом США.

Але шкідливе програмне забезпечення – це не єдина діяльність, яка викликає занепокоєння. У березні хакери, відомі як Secondary Infektion, запустили та поширили фейкове повідомлення, в якому стверджується, що Україна капітулювала через веб-сайт «Україна 24», і навіть створили фальшиву модель штучного інтелекту (ШІ) президента України Зеленського, який передає повідомлення.

Хоча ця група продовжує рекламувати фейкові історії,  Ghostwriter також був активним останнім часом. У лютому команда реагування на комп’ютерні надзвичайні ситуації в Україні (CERT-UA) попередила, що група, яка також відстежується як UNC1151, відповідальна за низку кампаній дезінформації, спроб фішингу та нападів на українські цілі. Угруповання, очевидно, пов’язане з державними інтересами Білорусі.

Нова кампанія, пов’язана з Ghostwriter, виявлена ​​Mandiant, просуває неправдиві розповіді про біженців, в той час як інші групи просувають кампанію дезінформації, спрямовану на «агресивний захист російських стратегічних інтересів», за словами дослідників. Здається, ці дії збігаються з Ghostwriter, що свідчить про те, що між командами може бути співпраця. Крім того, фейкові наративи поширюються, щоб спробувати зіпсувати відносини між Україною та Польщею. Ці історії містять вміст, який зображує біженців як тягар.

APT28, також відомий як Fancy Bear, продовжує публікувати контент на каналах Telegram, пов’язаний з конфліктом, зосереджуючись на «послабленні довіри українців до своєї влади та її реакції на вторгнення».

Ця стаття Кібератаки та діяльність з дезінформації проти України продовжуються раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Microsoft повідомила, що отримала ухвалу суду про контроль над сімома доменами, якими користується APT28, спонсорована державою група російської військової розвідки, з метою нейтралізації її атак на Україну.

APT28, також відома під іменами Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight і Strontium, є кібершпигунською групою та передовою стійкою загрозою, яка, як відомо, активна з 2009 року, та яка вражає ЗМІ, уряди, військові та міжнародні органи, неурядові організації, які часто зосереджені на безпеці.

Технологічний гігант зазначив, що інфраструктура-воронка використовувалася зловмисником для націлення на українські установи, а також уряди та аналітичні центри в США та Європейському Союзі, щоб підтримувати довгостроковий постійний доступ та вилучати конфіденційну інформацію.

Meta вживає заходів проти Ghostwriter і Phosphorus

Розкриття інформації від Microsoft відбулося після того, як компанія Meta, раніше відома як Facebook, повідомила, що вжила заходів проти прихованих ворожих мереж з Азербайджану та Ірану на своїй платформі, видаливши облікові записи та заблокувавши доступ до їхніх доменів.

Вважається , що азербайджанська операція виокремила демократичних активістів, опозиційні групи і журналістів з країни та критиків уряду за кордоном для здійснення фішингу та шпигунської діяльності.

Ще один учасник – UNC788 (також відома як Charming Kitten, TA453 або Phosphorus), пов’язана з урядом хакерська група, яка має історію проведення операцій спостереження на підтримку стратегічних пріоритетів Ірану.

«Ця група використовувала комбінацію фальшивих облікових записів із низьким рівнем витонченості та складніших фіктивних персонажів, які вони, ймовірно, використовували, щоб побудувати довіру з потенційними цілями та обманом змусити їх натиснути на фішингові посилання або завантажити шкідливі програми», – окреслила Meta у своєму першому квартальному випуску Adversarial Threat .

Шкідливі програми Android, які отримали назву HilalRAT, імітували, здавалося б, нешкідливі програми, які стосуються Корану, щоб витягувати конфіденційну інформацію, таку як список контактів, текстові повідомлення, файли, інформацію про місцезнаходження, а також активувати камеру та мікрофон.

Meta також зазначила, що заблокувала зловмисну ​​діяльність, пов’язану з незареєстрованою іранською хакерською групою, яка використовувала тактику, подібну до Tortoiseshell , для націлювання на компанії в енергетиці, ІТ, морській логістиці, напівпровідникових і телекомунікаційних галузях.

Ця кампанія містила складний набір фіктивних профілів в Instagram, LinkedIn, Facebook і Twitter, а хакери видавали себе за рекрутерів реальних і підставних компаній, щоб обманом змусити користувачів натиснути на фішингові посилання та доставити зловмисне програмне забезпечення, що викрадає інформацію, та яке було замасковано під VPN, калькулятор, аудіокниги та програми для обміну повідомленнями.

«Вони розробили шкідливе програмне забезпечення на платформі віртуалізації VMWare ThinApp, що дозволило їм запускати його на багатьох різних системах і утримувати шкідливе корисне навантаження до останньої хвилини, що робить виявлення шкідливого програмного забезпечення більш складним», – пояснили в Meta.

Нарешті, Мета також зірвала спроби захоплення, зроблені групою Ghostwriter , пов’язаною з Білоруссю, щоб проникнути в акаунти Facebook десятків українських військових.

Атаки були спрямовані на отримання доступу до акаунтів жертв у соціальних мережах і розміщували дезінформацію, «закликаючи армію здатися, ніби ці дописи надходять від законних власників акаунтів».

Ця стаття Microsoft отримала ухвалу суду про відключення доменів, які використовуються для атак на Україну раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Були розкриті подробиці нової фішингової кампанії, яка спрямована на європейські урядові структури, що розглядається як спроба отримати розвідувальні дані про рух біженців і постачання в регіоні.

Компанія з безпеки підприємства Proofpoint, яка вперше виявила шкідливі електронні листи 24 лютого 2022 року, охрестила атаки соціальної інженерії « Asylu Ambuscade ».

«Електронний лист містив шкідливий вкладений файл, у якому використовуються теми соціальної інженерії, які стосуються екстреного засідання Ради Безпеки НАТО, яке відбулося 23 лютого 2022 року», – заявили дослідники Майкл Раггі та Зідека Касс у звіті, опублікованому у вівторок.

“Електронний лист також містив вкладений файл, який намагався завантажити шкідливе програмне забезпечення Lua під назвою SunSeed, яке націлене на персонал європейського уряду, якому поставлено завдання керувати транспортом і переміщенням населення в Європі”.

Висновки ґрунтуються на рекомендації Державної служби спеціального зв’язку та захисту інформації України (ДСЗЗІ), яка минулого тижня попередила про фішингові повідомлення, спрямовані на військових із вкладеними файлами ZIP, з метою крадіжки конфіденційної особистої інформації.

Proofpoint відмовився приписувати нещодавно спостережувану кампанію конкретному суб’єкту загрози, але зауважив, що збіг у часовій шкалі двох груп атак, використаних фішингових приманок та моделей віктимології збігаються з моделями білоруської національної державної групи під назвою UNC1151. (вона ж TA445 або Ghostwriter).

Одним із помітних аспектів Asylum Ambuscade є ймовірне використання скомпрометованого облікового запису електронної пошти українського військовослужбовця для розповсюдження повідомлень електронної пошти зі зловмисним програмним забезпеченням, що містять файл XLS з підтримкою макросів, який доставляє SunSeed на заражені хости, що означає, що остання кампанія може бути продовженням цих атак.

«Приманки соціальної інженерії, використані в цій фішинговій кампанії, були дуже вчасними, після засідання Ради Безпеки НАТО 23 лютого 2022 року та новини про «список вбивств» російського уряду, спрямованого на українців, який почав поширюватися в західних ЗМІ 21 лютого, 2022 рік», – зазначили дослідники.

SunSeed, зі свого боку, функціонує як завантажувач, який встановлює зв’язок із сервером, керованим хакером, щоб отримати корисні навантаження наступного етапу виконання.

Компанія з кібербезпеки, що базується в Саннівейлі, зазначила, що атаки спеціально виділили осіб, яким було покладено обов’язки, пов’язані з транспортуванням, фінансовим і бюджетним розподілом, адміністрацією та переміщенням населення в Європі.

Розкриття інформації з’явилося в той час, коли посилення військового вторгнення Росії в Україну поляризувало кіберпростір, і активісти, кіберзлочинці, дослідники білих капелюхів і технологічні компанії вибирають сторону в конфлікті.

В окремому оновленні, опублікованому в середу, Українська група реагування на комп’ютерні надзвичайні ситуації (CERT-UA) назвала поточні події «інформаційно-психологічною війною», закликаючи людей у ​​країні ретельно стежити за своїми обліковими записами на наявність нерозпізнаних пристроїв, увімкнути двофакторну автентифікацію та використовувати програми для обміну повідомленнями з наскрізним шифруванням.

Більше того, компанія з безпеки електронної пошти Avanan заявила , що починаючи з 27 лютого, вона стала свідком восьмикратного збільшення атак електронною поштою, які відбувалися з Росії, принаймні деякі з них були спрямовані на виробництво, міжнародні доставку та транспортні компанії, розташовані в США та Європі.

«У світлі російсько-української війни, що триває, дії довірених осіб, як-от TA445, продовжуватимуть націлюватися на європейські уряди для збору розвідувальних даних про переміщення біженців з України та з питань, важливих для російського уряду», — заявили дослідники.

Джерело: The hacker news

Ця стаття Хакери атакують європейських чиновників, щоб отримати інформацію про українських біженців раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня