Франція звинуватила російських хакерів у атаках на свою критичну інфраструктуру
Основними цілями атак стали урядові, дипломатичні, дослідні установи та аналітичні центри, зокрема французькі державні структури
Франція звинуватила хакерів російського ГРУ із угруповання APT28 (Fancy Bear) в атаках на свою критичну інфраструктуру.
Про це йдеться у звіті CERT-FR за період із 2021 по 2024 рік.
З 2021 року були атаковані:
- міністерства, місцеві органи влади та державні установи;
- організації оборонно-промислового комплексу (DTIB);
- аерокосмічні підприємства;
- дослідні установи та аналітичні центри;
- організації економічного та фінансового секторів.
У 2024 році основними цілями атак стали урядові, дипломатичні, дослідні установи та аналітичні центри, зокрема французькі державні структури.
The Insider наводить приклади того, як діють хакери із APT28 і чому не варто переходити на незнайомі посилання:
* Атаки на сервери електронної пошти Roundcube через фішинг. Зловмисники з APT28 розсилали фішингові листи користувачам, які працюють із поштовими серверами Roundcube. Листи були забезпечені посиланнями або шкідливим кодом, який експлуатував уразливість сервера. Мета: отримати доступ до вмісту поштових скриньок: листів, контактів, конфіденційних даних, а також знайти нові потенційні цілі для подальших атак через отримані контакти. Експлойти вбудовувалися так, що їхнє виконання відбувалося автоматично при обробці листа на сервері без участі користувача.
* Кампанії 2023 через безкоштовні веб-сервіси (InfinityFree + Mocky.IO).
APT28 надсилали фішингові листи з посиланнями на домени безкоштовного хостингу Infinity Free. Користувач завантажував ZIP-архів, який містив шкідливу програму – бекдор HeadLace. Останній збирав облікові дані – логіни та паролі, інформацію про систему (ОС, ПЗ тощо), а іноді встановлював планувальник завдань у системі для забезпечення постійного доступу..
* Кампанія з OceanMap Stealer (грудень 2023 – лютий 2024). Хакери використовували оновлену версію OceanMap Stealer – бекдор для крадіжки даних. OceanMap Stealer застосовував IMAP-протокол (протокол отримання пошти) для отримання збережених облікових даних з браузерів, відправлення цих даних зловмисникам через зашифровані канали.
* Фішингові атаки на користувачів UKR.NET, Yahoo, ZimbraMail та Outlook Web Access. Користувачам відправляли листи, які ведуть фальшиві сторінки входу в зазначені сервіси з метою отримати від них логіни та паролі.
Бекграунд. Як повідомлялося, російські боти перед президентськими виборами у Польщі лякають поляків терактами і українськими біженцями.
Мережа ботів «Матрьошка» розповідає про «злочинну мережу, нібито створену українськими біженцями».
Якщо ви дочитали цей матеріал до кінця, ми сподіваємось, що це значить, що він був корисним для вас.
Ми працюємо над тим, аби наша журналістська та аналітична робота була якісною, і прагнемо виконувати її максимально компетентно. Це вимагає і фінансової незалежності.
Станьте підписником Mind всього за 196 грн на місяць та підтримайте розвиток незалежної ділової журналістики!
Ви можете скасувати підписку у будь-який момент у власному кабінеті LIQPAY, або написавши нам на адресу: [email protected].
