передає Укрінформ.
Хакерські атаки, які фіксують з 2023 року, використовують вразливості в програмному забезпеченні сервісів онлайн-пошти, таких як Roundcube, Horde, MDaemon і Zimbra, щоб отримати доступ до електронних листів керівників збройових компаній і державних службовців у багатьох країнах. Остання виявлена атака відбулася 17 квітня.
ESET повідомляє, що Fancy Bear задіяв комбінацію фішингу та міжсайтового скриптингу для використання вразливостей «нульового дня» та інших. Сліди втручання були вперше виявлені в електронних листах, надісланих двом українським державним оборонним компаніям та цивільній фірмі, яка займається авіаперевезеннями, у листопаді 2024 року.
У 2024 році жертвами цих кібератак стали оборонні компанії в Болгарії та Румунії, які виробляють зброю радянських зразків, а також регіональні органи влади в Греції, Камеруну та Сербії, військовослужбовці в Еквадорі. Крім того, фішингові атаки були спрямовані на електронні поштові скриньки високопосадовців України з метою викрадення конфіденційної інформації про військові поставки та операції.
У звіті йдеться про те, що основною метою кампанії Fancy Bear є збір розвідувальної інформації про оборонний сектор України, а також націленість на організації в Латинській Америці, ЄС та Африці. ESET виявила щонайменше 17 організацій, на які була спрямована ця кампанія.
Пропаганда та агенти впливу: росія перетворює Болгарію на «троянського коня»
Хакери використовували спам-розсилки, які імітували нібито звичайні новини про війну в Україні, з такими темами, як «СБУ заарештувала в Харкові банкіра, який працював на російську військову розвідку» або «Путін прагне, щоб Трамп прийняв російські умови». Ці повідомлення були розроблені таким чином, щоб спонукати одержувачів перейти за шкідливими посиланнями або відкрити скомпрометовані сторінки електронної пошти.
Після того, як користувачі були скомпрометовані, було розгорнуто спеціальне корисне навантаження javascript для викрадення даних з облікових записів електронної пошти, включаючи облікові дані для входу, контакти з адресної книги та історію повідомлень. У деяких випадках зловмисникам також вдавалося викрасти інформацію про двофакторну автентифікацію, що потенційно дозволяє обійти заходи безпеки.
Французька влада також нещодавно звинуватила Fancy Bear у націленості на французькі установи, стверджуючи, що група намагалася зірвати французькі вибори у 2017 році і продовжувала кібератаки на різні установи до 2021 року. Міністерство закордонних справ Франції попередило про триваючу російську кіберактивність, спрямовану на дестабілізацію європейських партнерів.
У ESET зазначили, що діяльність Fancy Bear спрямована на компрометацію військових постачальників до України та на інших регіональних суб’єктів, і підкреслили постійну увагу з боку РФ до збору розвідувальної інформації в умовах російсько-української війни.
