Китайські хакери атакували чиновників із Європи, використовуючи вторгнення Росії в Україну

Хакери з Китаю проводять кібератаки проти європейських чиновників, використовуючи війну Росії з Україною. Про це стало відомо виданню Forbes.

7 березня Google в офіційному блозі опублікувала дослідження своєї команди аналізу загроз (Threat Analysis Group, TAG), згідно з яким китайська група під назвою Mustang Panda розсилає фішингові електронні листи зі шкідливим програмним забезпеченням. Архіви zip-формату маскують назвами, пов'язаними з російським вторгненням, наприклад: "Ситуація на кордоні ЄС із Україною", всередині містяться виконавчі файли з такою самою назвою, які завантажують шкідливе програмне забезпечення на комп'ютер.

"Щоб мінімізувати збитки, яких завдають хакерські групи, TAG повідомила правоохоронні органи", — пишуть дослідники.

Із початку вторгнення Росії в Україну TAG відслідковувала активність кількох груп. Зокрема, стало відомо, що FancyBear/APT28, яку пов'язують із ГРУ РФ, організувала кілька великих фішингових кампаній для крадіжки даних у користувачів сервісів української медіакомпанії UkrNet. Фішингові електронні листи надсилали з багатьох скомпрометованих облікових записів із посиланнями, що ведуть на сайти зловмисників.

Американська компанія Proofpoint, що спеціалізується на захисті електронної пошти, зафіксувала підвищену активність групи під назвою RedDelta, яка раніше була пов'язана з Mustang Panda. 28 лютого ці хакери використовували зламаний обліковий запис електронної пошти дипломата з європейської країни-члена НАТО для розсилки "вірусних" листів до дипломатичних установ іншої держави. Назви країн експерти не розкрили, але згадали, що файл мав ту саму назву: "Ситуація на кордоні ЄС із Україною". Кінцевою метою атак був запуск на комп'ютерах жертв віддаленого доступу, відомого як PlugX.

За даними Proofpoint, група RedDelta також розсилала фішингові листи з так званими "пікселями відстеження", крихітними зображеннями, що інформують зловмисників про відкриття повідомлень і вразливість отримувача для подальших атак. Минулого тижня кіберексперти Proofpoint виявили, що інші хакери, можливо, з Білорусі, надіслали фішингові електронні листи зі зламаного облікового запису українського військового чиновника.

"Темп цих кампаній, особливо проти європейських урядів, різко збільшився з того часу, як російські війська почали збиратися на кордоні з Україною, — пише Proofpoint. — Багатолітня кампанія проти дипломатичних структур у Європі передбачає наявність постійної зони відповідальності RedDelta".

Керівник відділу з аналізу та блокування загроз компанії Cisco Talos Метт Олні в коментарі Forbes припустив, що поки що війна в Україні ведеться в основному фізично, проте незабаром можуть розпочатися масові хакерські атаки на організації та країни, які підтримали Україну. На його думку, поки що хакери в Росії сфокусувалися на шпигунстві, намагаючись зрозуміти, як Захід реагує на ситуацію в Україні та яких заходів збирається вжити.

Раніше писали, як хакери атакують українські сайти під час вторгнення російських військ. За інформацією експертів CERT-UA, зловмисники розсилають фішингові листи, у яких для привернення уваги використовують поради, як поводитися під час артилерійського обстрілу. Всередині ж містяться програми для отримання прихованого доступу до комп'ютера жертви.