ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах. Вспомним, как это было.

Что произошло
В период с августа по сентябрь хакерская команда «Cold River» нацелилась на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL), согласно данным Интернета, которые показали, что хакеры создают поддельные страницы входа для каждого учреждения и отправляют электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.



Кто стоит за взломом
Хакеры Cold River, впервые появившаяся в поле зрения профессионалов разведки после нападения на министерство иностранных дел Великобритании в 2016 году, в последние годы, согласно интервью с девятью фирмами, занимающимися кибербезопасностью, была замешана в десятках других громких хакерских инцидентов.

«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike.

Были ли еще атаки
В мае Cold River взломала и опубликовала электронные письма, принадлежащие бывшему главе британской шпионской службы МИ-6. Это была лишь одна из нескольких операций по «взлому и утечке» в прошлом году, проведенных связанными с Россией хакерами, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской компании по кибербезопасности Sekoia.io, в ходе другой недавней шпионской операции, Cold River зарегистрировала доменные имена, призванные имитировать как минимум три европейские неправительственные организации, расследующие военные преступления.

Вступить в наш чат

Группа реагирования на чрезвычайные ситуации в киберпространстве Европейского Союза предупредила общественность, что российская хакерская группировка Fancy Bear нацелена на европейские правительства. В этой статье узнаем об инциденте подробнее.

Что произошло
По меньшей мере семь европейских правительств подверглись целенаправленным фишинговым кампаниям, которые включают использование специально разработанных приманок для нацеливания на конкретные важные цели с целью загрузки вредоносного программного обеспечения или предоставления доступа к цифровым системам.

«Мы оцениваем, что уровень угрозы высок», — говорится в записке группы реагирования на кибер-чрезвычайные ситуации ЕС (CERT-EU), засекреченной для ограниченного распространения (TLP Amber+Strict), которую отправили в начале ноября.

Кто стоит за атаками
Fancy Bear, также известная как APT28, — это связанная с российской разведкой хакерская группа, которая, по утверждениям США, стояла за взломами Национального комитета Демократической партии в 2016 году, которые способствовали победе Дональда Трампа на выборах. В 2020 году группа также подверглась санкциям со стороны властей ЕС за взлом немецкого Бундестага в 2015 году.

Группа «использует различные фальшивые документы для заманивания жертв, в том числе протоколы заседаний подкомитета Европейского парламента и отчет Специального комитета ООН», говорится в записке.

Предупреждение прозвучало на фоне растущих опасений, что европейские выборы в следующем году станут мишенью хакерских группировок из стран с программой кибернаступления против Европы, таких как Россия и Китай. Избиратели ЕС отправятся на избирательные участки уже в июне.



Были ли еще атаки
Хакерские группы в течение многих лет преследовали европейские страны кибератаками, кибершпионажем и кампаниями по дезинформации, что страны ЕС считают попытками подорвать их внутреннюю политику и дипломатическую позицию.

В частности, Fancy Bear действует уже не менее 15 лет. По словам западных специалистов, она специализируется на проникновении в правительственные и критически важные отраслевые организации по всему Западу и использовании взломанной информации для подрыва политики.

Ответ на взломы
Представитель Европейской комиссии Йоханнес Барке отказался комментировать новое предупреждение, но заявил, что ведомство «осведомлено о растущем количестве вредоносных кибердействий в глобальном масштабе».

«Регулярный обмен информацией имеет первостепенное значение, чтобы позволить всем ключевым игрокам в ЕС быть в курсе возможных угроз и получать, где это возможно, новые идеи для оценки и смягчения киберрисков», — сказал он.

Европейский парламент отказался от комментариев. Совет ЕС не ответил на запрос о комментариях.

APT28 оказались причастны к новой фишинговой кампании, в которой в качестве фишинговой приманки использовался выставленный на продажу автомобиль для доставки модульного бэкдора Windows под названием HeadLace.

Что произошло
«Кампания, вероятно, была нацелена на дипломатов и началась еще в марте 2024 года», — говорится в опубликованном сегодня отчете Palo Alto Networks Unit 42, в котором говорится, что ее со средней или высокой степенью уверенности приписывают APT28, которая также известна как BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy и TA422.

Стоит отметить, что фишинговые темы «автомобили на продажу» ранее использовались другой российской государственной группировкой под названием APT29 еще в мае 2023 года, что свидетельствует о том, что APT28 перепрофилирует успешные тактики для своих собственных кампаний.

Особенности атаки
Ранее в мае этого года злоумышленник был замешан в серии кампаний, нацеленных на сети по всей Европе с помощью вредоносного ПО HeadLace и веб-страниц для сбора учетных данных.

Атаки характеризуются использованием легитимной службы, известной как webhook[.]site — отличительной черты киберопераций APT28 наряду с Mocky — для размещения вредоносной HTML-страницы, которая сначала проверяет, работает ли целевая машина на Windows, и если да, предлагает ZIP-архив для загрузки («IMG-387470302099.zip»).

Если система не основана на Windows, она перенаправляет на обманное изображение, размещенное на ImgBB, в частности, на внедорожник Audi Q7 Quattro.

В архиве находятся три файла: легитимный исполняемый файл калькулятора Windows, маскирующийся под файл изображения («IMG-387470302099.jpg.exe»), DLL («WindowsCodecs.dll») и пакетный скрипт («zqtxmo.bat»).

Двоичный файл калькулятора используется для загрузки вредоносной DLL, компонента бэкдора HeadLace, предназначенного для запуска пакетного скрипта, который, в свою очередь, выполняет команду в кодировке Base64 для извлечения файла с другого URL-адреса webhook[.]site.

Затем этот файл сохраняется как "IMG387470302099.jpg" в папке загрузок пользователя и переименовывается в "IMG387470302099.cmd" перед выполнением, после чего он удаляется, чтобы стереть следы любой вредоносной активности.

"Хотя инфраструктура, используемая Fighting Ursa, различается для разных кампаний атак, группа часто полагается на эти свободно доступные сервисы", - заявили в Unit 42. "Более того, тактика этой кампании соответствует ранее задокументированным кампаниям Fighting Ursa, а бэкдор HeadLace является эксклюзивным для этого субъекта угрозы".

Двое граждан России признали себя виновными в суде США за участие в качестве аффилированных лиц в схеме распространения вируса-вымогателя LockBit и содействие осуществлению атак с использованием вирусов-вымогателей по всему миру.

Что произошло
Среди обвиняемых — 21-летний Руслан Магомедович Астамиров из Чеченской Республики и 34-летний Михаил Васильев, гражданин Канады и России из Брэдфорда, Онтарио.

Астамиров был арестован в Аризоне правоохранительными органами США в мае 2023 года. Васильев, которого уже разыскивают по аналогичным обвинениям в Канаде, был приговорен к почти четырем годам тюремного заключения. Впоследствии он был экстрадирован в США в прошлом месяце.

Это событие произошло более чем через два месяца после того, как Национальное агентство по борьбе с преступностью Великобритании (NCA) разоблачило 31-летнего гражданина России по имени Дмитрий Юрьевич Хорошев как администратора и разработчика операции по вымогательству LockBit.

Подробности взлома
LockBit, который, по оценкам, атаковал более 2500 организаций с момента своего появления к концу 2019 года, заработав не менее 500 миллионов долларов в виде выкупов от своих жертв.

Ранее в этом году синдикат электронной преступности понес серьезный удар после того, как его онлайн-инфраструктура была уничтожена в рамках скоординированной операции правоохранительных органов под названием Cronos. Однако группа продолжает оставаться активной.

Васильев и Астамиров «сначала выявляли и незаконно получали доступ к уязвимым компьютерным системам», — заявило Министерство юстиции США. «Затем они развертывали программу-вымогатель LockBit на компьютерных системах жертв, а также крали и шифровали хранящиеся данные».

«После успешной атаки LockBit аффилированные лица LockBit требовали выкуп от своих жертв в обмен на расшифровку данных жертв и удаление украденных данных».

Сообщается, что Астамиров (он же BETTERPAY, offtitan и Eastfarmer) применил LockBit по меньшей мере против 12 жертв в период с 2020 по 2023 год, получив 1,9 миллиона долларов в качестве выкупа от жертв, проживающих в американском штате Вирджиния, Японии, Франции, Шотландии и Кении.

Он признал себя виновным в сговоре с целью совершения компьютерного мошенничества и злоупотребления и сговоре с целью совершения электронного мошенничества. Обвинения по двум пунктам предусматривают максимальное наказание в виде 25 лет лишения свободы.

Аналогичным образом Васильев, действуя под псевдонимами Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, Newwave110, применил вирус-вымогатель против 12 компаний в американских штатах Нью-Джерси и Мичиган, а также в Великобритании и Швейцарии.

Приговор
Васильеву грозит до 45 лет тюрьмы по обвинениям, связанным с сговором с целью совершения компьютерного мошенничества и злоупотребления, преднамеренным повреждением защищенного компьютера, передачей угрозы в связи с повреждением защищенного компьютера и сговором с целью совершения электронного мошенничества.

Оба обвиняемых должны быть приговорены 8 января 2025 года. Хорошеву было предъявлено обвинение по 26 пунктам ранее в мае этого года за руководство операцией LockBit, хотя он остается на свободе.

«Распространенное заблуждение, что киберхакеры не будут пойманы правоохранительными органами, потому что они умнее и опытнее нас», — сказал Джеймс Э. Деннехи, специальный агент ФБР, отвечающий за отделение в Ньюарке.

«Двое членов филиала LockBit, признавшие себя виновными в своих преступлениях в федеральном суде США, показывают, что мы можем остановить их и привлечь к ответственности. Эти злоумышленники считают, что могут действовать безнаказанно, и не боятся быть пойманными, потому что они находятся в стране, где чувствуют себя в безопасности и защищенными».

Я хочу выразить огромную благодарность за отличные статьи и мануалы, которые предлагает BlackMast. Они настоящие кладезь знаний и полезной информации по самым разным темам. Каждая статья написана профессионально и подробно, с множеством полезных советов и рекомендаций. Особенно хочу отметить подкасты BlackMast - они очень информативны и интересны, а также отлично подходят для прослушивания в дороге или во время занятий спортом. Спасибо за ваш труд и за то, что делитесь своими знаниями с нами, BlackMast!

Рекомендую обратиться к официальному веб-сайту или иным официальным источникам, чтобы получить более подробную информацию о предоставляемых ими материалах. Также можно использовать поисковые системы или платформы для поиска контента, которые могут предложить интересующие вас статьи, мануалы или подкасты.

Я хочу выразить свою огромную благодарность BlackMast за отличные статьи, мануалы и подкасты! Как начинающий программист, я часто сталкиваюсь с трудностями и вопросами, на которые сложно найти ответы в интернете. Но благодаря материалам от BlackMast, я всегда могу найти подробные и понятные объяснения даже самых сложных тем. Кроме того, я хочу отметить, что все материалы представлены в удобном и легком для восприятия формате, что делает процесс обучения еще более приятным. Спасибо за ваш труд и за то, что делаете мир программирования более доступным и понятным для всех.