Пока только удалось установить, что хакеры провели несколько крупных операций, предполагающих государственное финансирование.
Специалисты из компании Malwarebytes заявили, что им удалось найти и отследить новую хакерскую группировку, которая с 2020 года шпионит как за проукраинскими целями в центральной Украине, так и за пророссийскими — на Донбассе. Подробности сообщило издание wired.com.
Как рассказали в Malwarebytes, хакеры провели минимум 5 операций в период с 2020 по 2023 годы. Группировка получила кодовое название Red Stinger, хотя настоящее ее название не известно. Также специалисты по кибербезопасности утверждают, что "имеют представление" только о 2-х кампаниях, проведенных в прошлом году. Мотивы и лояльность группы пока не ясны, но хакерские кампании примечательны своей агрессивностью и отсутствием связей с другими известными киберпреступниками.
Одну из кампаний эксперты Malwarebytes называли "Операция четыре". По их словам, она была нацелена на одного из украинских военных, работа которого заключается в обеспечении функционирования критически важной инфраструктуры (не уточняется, какой именно, — ред.), а также на других лиц, чья потенциальная ценность в качестве источников информации менее очевидна. В ходе этой кампании злоумышленники скомпрометировали устройства жертв, чтобы получить скриншоты и документы и даже записать звук с микрофонов. В ходе последней операции группа нацелилась на нескольких чиновников избирательных комиссий, проводивших "референдумы" о присоединении к РФ временно оккупированных украинских территорий, включая Донецк и Мариуполь. Одной из жертв был советник Центральной избирательной комиссии России, а другой — человек, работающий в транспортной сфере, возможно, на железной дорогое, на Востоке Украины.
"Мы были удивлены тем, насколько масштабными были эти операции, и хакеры смогли получить много информации", — говорит Роберто Сантос из Malwarebytes.
В российской "Лаборатории Касперского" утверждают, что за неизвестной группировкой стоят хакеры из Bad Magic. Россияне также подтвердили, что "загадочные" хакеры сосредоточились на правительственных, производственных (сельское хозяйство) и транспортных целях, территориально находящихся на Донбассе.
"Вредоносное ПО и методы, использованные в этой кампании, не отличаются особой сложностью, но эффективны, а код не имеет прямого отношения к каким-либо известным кампаниям", — отмечают исследователи "Лаборатории Касперского".
Кампании начинаются с фишинговых атак, в ходе которых распространяются вредоносные ссылки, ведущие к зараженным ZIP-файлам, вредоносным документам и специальным файлам Windows. Через Backdoor они загружают вредоносное ПО, благодаря чему скачивают данные, получают доступ к микрофонам устройств и т.д. В Malwarebytes отмечают, что Red Stinger, похоже, разработала собственные хакерские инструменты и повторно использует характерные сценарии и инфраструктуру, в том числе определенные вредоносные генераторы URL-адресов и IP-адресов.
Хакеры из Red Stinger все еще активны. Теперь, когда подробности об операциях группировки стали достоянием общественности, она может изменить методы и инструменты, чтобы избежать обнаружения.
Ранее мы писали о том, что хакер смог взломать 130 твиттер-аккаунтов известных людей и украсть около $800 тыс. Теперь он находится под следствием.