Франція звинуватила російських хакерів у атаках на свою критичну інфраструктуру

Франція звинуватила хакерів російського ГРУ із угруповання APT28 (Fancy Bear) в атаках на свою критичну інфраструктуру.

Про це йдеться у звіті CERT-FR за період із 2021 по 2024 рік.

З 2021 року були атаковані:

• міністерства, місцеві органи влади та державні установи;
• організації оборонно-промислового комплексу (DTIB);
• аерокосмічні підприємства;
• дослідні установи та аналітичні центри;
• організації економічного та фінансового секторів.

У 2024 році основними цілями атак стали урядові, дипломатичні, дослідні установи та аналітичні центри, зокрема французькі державні структури.

The Insider наводить приклади того, як діють хакери із APT28 і чому не варто переходити на незнайомі посилання:

* Атаки на сервери електронної пошти Roundcube через фішинг. Зловмисники з APT28 розсилали фішингові листи користувачам, які працюють із поштовими серверами Roundcube. Листи були забезпечені посиланнями або шкідливим кодом, який експлуатував уразливість сервера. Мета: отримати доступ до вмісту поштових скриньок: листів, контактів, конфіденційних даних, а також знайти нові потенційні цілі для подальших атак через отримані контакти. Експлойти вбудовувалися так, що їхнє виконання відбувалося автоматично при обробці листа на сервері без участі користувача.

* Кампанії 2023 через безкоштовні веб-сервіси (InfinityFree + Mocky.IO).

APT28 надсилали фішингові листи з посиланнями на домени безкоштовного хостингу Infinity Free. Користувач завантажував ZIP-архів, який містив шкідливу програму – бекдор HeadLace. Останній збирав облікові дані – логіни та паролі, інформацію про систему (ОС, ПЗ тощо), а іноді встановлював планувальник завдань у системі для забезпечення постійного доступу..

* Кампанія з OceanMap Stealer (грудень 2023 – лютий 2024). Хакери використовували оновлену версію OceanMap Stealer – бекдор для крадіжки даних. OceanMap Stealer застосовував IMAP-протокол (протокол отримання пошти) для отримання збережених облікових даних з браузерів, відправлення цих даних зловмисникам через зашифровані канали.

* Фішингові атаки на користувачів UKR.NET, Yahoo, ZimbraMail та Outlook Web Access. Користувачам відправляли листи, які ведуть фальшиві сторінки входу в зазначені сервіси з метою отримати від них логіни та паролі.

Бекграунд. Як повідомлялося, російські боти перед президентськими виборами у Польщі лякають поляків терактами і українськими біженцями.

Мережа ботів «Матрьошка» розповідає про «злочинну мережу, нібито створену українськими біженцями».