Китайские хакеры атаковали чиновников из Европы, используя вторжение России в Украину

Хакеры из Китая проводят кибератаки против европейских чиновников, используя войну России с Украиной. Об этом стало известно изданию Forbes.

7 марта Google в официальном блоге опубликовала исследование своей команды анализа угроз (Threat Analysis Group, TAG), согласно которому китайская группа под названием Mustang Panda рассылает фишинговые электронные письма с вредоносным ПО. Архивы zip-формата маскируют названиями, связанными с российским вторжением, например: "Ситуация на границе ЕС с Украиной", внутри содержатся исполнительные файлы с таким же названием, которые загружают вредоносное ПО на компьютер.

"Чтобы минимизировать ущерб, наносимых хакерской группой, TAG уведомила правоохранительные органы", — пишут исследователи.

С начала вторжения России в Украину TAG отслеживала активность нескольких групп. В частности, стало известно, что FancyBear/APT28, которую связывают с ГРУ РФ, организовала несколько крупных фишинговых кампания для кражи данных у пользователей сервисов украинской медиакомпании UkrNet. Фишинговые электронные письма отправляли со множества скомпрометированных учетных записей со ссылками, ведущими на сайты злоумышленников.

Американская компания Proofpoint, специализирующаяся на защите электронной почты, зафиксировала повышенную активность группы под названием RedDelta, которая ранее была связана с Mustang Panda. 28 февраля эти хакеры использовали взломанный аккаунт электронной почты дипломата из европейской страны-члена НАТО для рассылки "вирусных" писем в дипломатические учреждения другого государства. Названия стран эксперты не раскрыли, но упомянули, что файл имел то же название: "Ситуация на границе ЕС с Украиной". Конечной целью атак был запуск на компьютерах жертв инструмента удаленного доступа, известного как PlugX.

По данным Proofpoint, группа RedDelta также рассылала фишинговые письма с так называемыми "пикселями отслеживания", крошечными изображениями, информирующими злоумышленников об открытии сообщений и уязвимости получателя для дальнейших атак. На прошлой неделе киберэксперты Proofpoint обнаружили, что другие хакеры, возможно из Беларуси, отправили фишинговые электронные письма со взломанного аккаунта украинского военного чиновника.

"Темп этих кампаний, особенно против европейских правительств, резко увеличился с тех пор, как российские войска начали собираться на границе с Украиной", — пишет Proofpoint. — "Многолетняя кампания против дипломатических структур в Европе предполагает наличие постоянной зоны ответственности RedDelta".

Руководитель отдела по анализу и блокировке угроз компании Cisco Talos Мэтт Олни в комментарии Forbes предположил, что пока война в Украине ведется в основном на физическом уровне, однако вскоре могут начаться массовые хакерские атаки на организации и страны, которые поддержали Украину. По его мнению, пока хакеры в России сфокусировались на шпионаже, пытаясь понять, как Запад реагирует на ситуацию в Украине и какие меры собирается предпринять.

Ранее писали, как хакеры атакуют украинские сайты во время вторжения российских войск. По информации экспертов CERT-UA, злоумышленники рассылают фишинговые письма, в которых для привлечения внимания используют советы, как вести себя во время артиллерийского обстрела. Внутри же содержатся программы для получения скрытого доступа к компьютеру жертвы.