За останні кілька місяців, група хакерів RomCom RAT завдавала кіберударів по українським військовим частинам, місцевим органам влади та Верховній Раді

Протягом багатьох років російські урядові хакери використовували прикриття, щоб приховати сліди своїх кібератак і спробувати обдурити дослідників у галузі безпеки та урядові відомства, аби вони переклали провину за їхні дії на інших зловмисників. Про це йдеться в аналітичній публікації TechCrunch, переказ якої пропонує Foreign Ukraine.

Зокрема, російські хакери вдавали з себе румунського хактивіста-одинака на ім’я Guccifer 2.0, коли зламали Національний комітет Демократичної партії США; випустили руйнівне шкідливе програмне забезпечення, яке виглядає як пересічна програма-вимагач; ховались на серверах, які використовуються іранською хакерською групою; вдавали із себе ісламістську хакерську групу під назвою «Кібер-халіфат»; зламали зимові Олімпійські ігри 2018 року, залишивши «сліди», що вказують на Північну Корею та Китай; і підсунули хибні докази у документах, опублікованих як операція зі злому та витоку, імовірно проведена групою хактивістів під назвою «Кібер-Беркут».

Наразі дослідники у сфері кібербезпеки у BlackBerry стверджують, що виявили нову кібератаку російського уряду під прикриттям. Тепер вони прикриваються групою кіберзлочинців, відомою як Cuba Ransomware, що раніше була пов’язана зі штамом шкідливого програмного забезпечення, відомим як RomCom RAT. За словами дослідників, насправді це група, яка працює на російський уряд і атакує українські військові частини та місцеві органи влади.

«Атрибуція, яка вводить в оману. Схоже, це просто ще один підрозділ, який працює на російський уряд», – зазначив Дмитро Бестужев, старший директор групи розвідки кіберзагроз у BlackBerry, маючи на увазі зв’язок між RomCom RAT і Кубою.

Зазначимо, що RomCom RAT – це троян для віддаленого доступу, який вперше виявлений Unit 42, дослідницькою групою Palo Alto Networks, у травні 2022 року. За даними американського агентства з кібербезпеки CISA, зловмисне програмне забезпечення пов’язали з угрупованням Cuba, яке використовувало програми для кібератак у таких секторах, як «фінансові послуги, державні установи, охорона здоров’я, критичне виробництво та інформаційні технології».

Назва Cuba пояснюється тим, що група використовувала ілюстрації Фіделя Кастро та Че Гевари на своєму веб-сайті у даркнеті, хоча жоден дослідник так і не знайшов доказів того, що група має якийсь стосунок до «Острова свободи».

RomCom RAT використав підроблені версії популярних додатків для атаки, зокрема менеджер паролів KeePass, інструмент ІТ-адміністрування SolarWinds, Advanced IP Scanner та Adobe Acrobat Reader. За останні кілька місяців, RomCom RAT також завдавав кіберударів по українським військовим частинам, місцевим органам влади та українському парламенту.

Команда Бестужева відстежувала групу RomCom RAT протягом року та виявила її сліди через Інтернет. В рамках свого розслідування дослідники спостерігали за тим, як хакери використовували різноманітні цифрові сертифікати для реєстрації підроблених доменів, щоб встановити шкідливі програми.

Дослідники стали свідками того, як 23 березня 2023 року, за тиждень до звернення президента України Володимира Зеленського до австрійського парламенту по відеозв’язку, хакери створили цифровий сертифікат Австрії, щоб підписати вебсайт-пастку.

Також хакери RomCom RAT імітували веб-сайт SolarWinds у листопаді 2022 року, приблизно у той час, коли українські війська увійшли до Херсона. Хакери імітували Advanced IP Scanner у липні 2022 року, коли Україна розпочала використання ракет HIMARS. А у березні 2023 року хакери імітували Remote Desktop Manager приблизно в той час, коли українські пілоти навчалися на винищувачах F-16, а Польща та Словаччина вирішили надати Україні військові технології.

Багато експертів, а також сам український уряд досі не переконані, що RomCom RAT і Cuba Ransomware насправді є хакерами російського уряду.

Доель Сантос, старший науковий співробітник Palo Alto Networks Unit 42, вважає, що група, яка стоїть за шкідливим ПЗ RomCom RAT, «витонченіша, ніж традиційні групи хакерів», оскільки використовує спеціальні інструменти.

«Unit 42 зафіксував кібератаки проти України. У цьому є шпигунський аспект і тому вони можуть отримувати вказівки від певної держави. Проте, ми не знаємо ступеня цього зв’язку. Це виходить за рамки звичайної діяльності групи хакерів», – пояснює Сантос.

Проте, «деякі групи займаються заробітчанством, щоб отримати додаткові прибутки — це може бути те, що ми спостерігаємо у цьому випадку».

Бестужев та його команда розглядали цю можливість, але виключили її через наполегливість хакерів, час та цілі кібератак, які вказують на те, що їхня справжня мета — шпигунство, а не злочин.

Представник Державної служби спеціального зв’язку України повідомив, що одна з операцій RomCom RAT в Україні була націлена на користувачів спеціального програмного забезпечення під назвою DELTA, і «судячи з цільового та шкідливого програмного забезпечення, яке використовується, можна припустити, що метою кібератаки був збір розвідувальних даних від українських військових».

Бестужев та його група не планує публікувати всі технічні подробиці своїх знахідок, щоб не дозволити хакерам RomCom RAT змінити стратегії та методи.

Хто насправді стоїть за RomCom RAT та Cuba Ransomware, ще остаточно не відомо, але Бестужев та дослідники з інших компаній продовжать стежити за цими групами.