Elitni hakeri povezani s ruskom vojnom obavještajnom službom povezani su s velikim obimom phishing kampanja usmjerenih na stotine korisnika u Ukrajini kako bi izvukli obavještajne podatke i uticali na javni diskurs vezan za rat.
Google-ova grupa za analizu prijetnji (TAG), koja prati aktivnosti hakera pod imenom FROZENLAKE, saopštila je da napadi nastavljaju “fokus grupe na ciljanje korisnika email-a u istočnoj Evropi za 2022. godinu”.
Haker kojeg sponzoriše država, a pratimo ga i kao APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit i Sofacy, veoma je plodan i stručan. Aktivan je najmanje od 2009. godine, ciljajući na medije, vlade i vojne subjekte za špijunažu.
Najnoviji skup upada, počevši od početka februara 2023. godine, uključivao je korištenje reflektovanih napada skriptovanja na više lokacija (XSS) na različite web stranice ukrajinske vlade kako bi se korisnici preusmjerili na phishing domene i uhvatili njihove kredencijale.
Objava dolazi nakon što su britanske i američke obavještajne službe i agencije za provođenje zakona objavile zajedničko savjetodavno upozorenje o napadima APT28 koji iskorištavaju staru, poznatu ranjivost u Cisco ruterima za postavljanje malicioznog softvera poznatog kao Jaguar Tooth.
FROZENLAKE je daleko od jedinog hakera fokusiranog na Ukrajinu od ruske vojne invazije na zemlju prije više od godinu dana. Još jedan značajan protivnik je i FROZENBARENTS, zvani Sandworm, Seashell Blizzard (born Iridium) ili Voodoo Bear, koji se angažovao u kontinuiranim naporima da cilja na organizacije povezane sa Kaspijskim gasovodnim konzorcijumom (CPC) i drugim entitetima u energetskom sektoru u istočnoj Evropi.
Obe grupe su pripisane Glavnoj obavještajnoj upravi Generalštaba (GRU), a APT28 je vezan za 85. vojnu obavještajnu jedinicu 26165 centra za specijalne službe (GTsSS). S druge strane, vjeruje se da je Sandworm dio GRU-ove jedinice 74455.
Kampanja prikupljanja kredencijala ciljala je zaposlenike CPC-a sa phishing linkovima koji su dostavljeni putem SMS-a. Napadi na vertikalnu energiju distribuisali su linkove ka lažnim Windows paketima ažuriranja koji su na kraju izvršili krađu informacija poznatu kao Rhadamanthys kako bi eksfiltrirali lozinke i kolačiće pretraživača.
FROZENBARENTS, nazvan “najsvestraniji GRU kibernetički akter”, takođe je primijećen kako pokreće phishing napade kredencijala koji ciljaju ukrajinsku odbrambenu industriju, vojsku i korisnike Ukr.net email-a od početka decembra 2022. godine.
Kaže se da je haker dodatno stvorio online persone na YouTube-u, Telegram-u i Instagram-u kako bi širio proruske narative, curio podatke ukradene od kompromitovanih organizacija i objavljivao mete za distribuisane napade uskraćivanja usluge (DDoS).
“FROZENBARENTS je ciljao korisnike povezane s popularnim kanalima na Telegram-u”, rekao je istraživač TAG-a Billy Leonard. „Phishing kampanje dostavljene putem email-a i SMS-a lažirale su Telegram za krađu kredencijala, ponekad ciljajući korisnike koji prate proruske kanale.”
Treći haker od interesa je PUSCHHA, aka Ghostwriter ili UNC1151, grupa koju podržava bjeloruska vlada za koju se zna da djeluje u ime ruskih interesa i koja je izvela ciljane phishing napade izdvajajući ukrajinske dobavljače email-a kao što su i.ua i meta.ua za sifonovanje kredencijala.
Na kraju, Google TAG je takođe istaknuo niz napada koje je organizovala grupa koja stoji iza kubanskog ransomware-a kako bi se RomCom RAT implementirao u ukrajinske vladine i vojne mreže.
“Ovo predstavlja veliki pomak u odnosu na tradicionalne ransomware operacije ovog hakera, ponašajući se sličnije hakeru koji vodi operacije prikupljanja obavještajnih podataka” istakao je Leonard.
Sve u svemu, tim za kibernetičku bezbjednost tehnološkog giganta, koji radi na suzbijanju hakovanja i napada nacionalnih država, rekao je da je Ukrajina bila žrtva više od 60% phishing kampanja koje potiču iz Rusije tokom prva tri mjeseca 2023. godine.
Razvoj takođe prati novo upozorenje britanskog Nacionalnog centra za kibernetičku bezbjednost (NCSC) o novonastalim pretnjama kritičnim nacionalnim infrastrukturnim organizacijama od strane državnih grupa, posebno onih koje su “simpatične” za rusku invaziju na Ukrajinu.
“Ove grupe nisu motivisane finansijskom dobiti, niti su podložne kontroli od strane države, tako da njihove akcije mogu biti manje predvidljive, a njihovo ciljanje šire od tradicionalnih aktera kibernetičkog kriminala” navodi agencija.
Izvor: The Hacker News
