Об’єктами атак стали компанії у Болгарії, Румунії, країнах Африки та Південної Америки

Відомий російський хакерський гурт Fancy Bear (також відомий під назвами Sednit чи APT28) атакував компанії-постачальники зброї в Україну. Такий результат дослідження словацької компанії Eset. Про це йдеться в інформаційній публікації німецького видання Frankfurter Rundschau, переказ якої пропонує Foreign Ukraine.

Об’єктами атак стали компанії у Болгарії, Румунії, країнах Африки та Південної Америки.

На думку експертів, це угруповання є частиною масштабної стратегії російських спецслужб щодо використання кібератак для політичного впливу та дестабілізації. Окрім шпигунства, основна увага приділяється також цілеспрямованим кампаніям з дезінформації, спрямованим проти західних демократій.

Під час шпигунської кампанії під назвою «Операція RoundPress» хакери використовували вразливості у популярному програмному забезпеченні веб-пошти, включаючи Roundcube, Zimbra, Horde і MDaemon. Деякі вразливості можна було б усунути шляхом якісного обслуговування програмного забезпечення. Проте в одному випадку постраждалі компанії виявилися фактично безсилими, оскільки зловмисники змогли скористатися раніше невідомою вразливістю безпеки в MDaemon, яку спочатку неможливо було закрити.

За даними дослідників Eset, атаки зазвичай здійснювалися за допомогою підроблених електронних листів, замаскованих під повідомлення новин. Як тільки лист відкривається у браузері, запускається прихований шкідливий код. Спам-фільтри успішно оминають його.

Експерти з Eset під час аналізу атак змогли ідентифікувати шкідливу програму SpyPress.MDAEMON, яка здатна не лише зчитувати дані доступу та відстежувати електронні листи, а також може оминути двофакторну автентифікацію.

Двофакторна автентифікація (скорочено 2FA) – це додатковий захід безпеки при вході в онлайн-акаунти або доступі до конфіденційних даних. Це гарантує, що для отримання доступу достатньо не лише одного пароля, але й потрібне друге підтвердження. Однак хакерам Fancy Bear у кількох випадках вдалося обійти захист 2FA та отримати постійний доступ до поштових скриньок, використовуючи так звані паролі додатків.

«Багато компаній використовують застарілі сервери веб-пошти. Просте відображення електронного листа у браузері може бути достатнім для виконання шкідливого коду, при цьому отримувач навіть не натискає на щось», – пояснив Матьє Фау, дослідник з Eset.