"Загадкова" група хакерів шпигує за Україною та за Росією: що про неї відомо

Фахівці з компанії Malwarebytes заявили про те, що їм вдалося знайти та відстежити нове хакерське угруповання, яке з 2020 року шпигує за проукраїнськими цілями в центральній Україні та за проросійськими — на Донбасі. Деталі повідомило видання wired.com.

Як розповіли в Malwarebytes, хакери провели щонайменше 5 операцій у період із 2020 по 2023 роки. Угруповання отримало кодову назву Red Stinger. Також фахівці з кібербезпеки стверджують, що "мають уявлення" лише про 2 кампанії, проведені минулого року. Мотиви та лояльність групи поки не є зрозумілими, але хакерські кампанії примітні своєю агресивністю та відсутністю зв'язків з іншими відомими кіберзлочинцями.

Одну з кампаній експерти Malwarebytes назвали "Операція чотири". За їхніми словами, її було націлено на одного з українських військових, робота якого полягає у забезпеченні функціонування критично важливої інфраструктури (не уточнюється, якої саме, — ред.), а також на інших осіб, чия потенційна цінність як джерел інформації менш очевидна. Під час цієї кампанії зловмисники скомпрометували пристрої жертв, щоб отримати скріншоти та документи та навіть записати звук із мікрофонів. Під час останньої операції група націлилася на кількох чиновників виборчих комісій, які проводили "референдуми" про приєднання до РФ тимчасово окупованих українських територій, враховуючи Донецьк та Маріуполь. Однією із жертв був радник Центральної виборчої комісії Росії, а іншою — людина, яка працює в транспортній сфері, можливо на залізниці, на Сході України.

"Ми були здивовані тим, наскільки масштабними були ці операції, і хакери змогли отримати багато інформації", — каже Роберто Сантос із Malwarebytes.

У російській "Лабораторії Касперського" стверджують, що за невідомим угрупуванням стоять хакери з Bad Magic. Росіяни також підтвердили, що "загадкові" хакери зосередилися на урядових, виробничих (сільське господарство) та транспортних цілях, що розташовані на Донбасі.

"Шкідливе ПЗ та методи, використані в цій кампанії, не відрізняються складністю, але є ефективними, а код не має жодного стосунку до якихось відомих кампаній", — зазначають дослідники "Лабораторії Касперського".

Кампанії починалися із фішингових атак, в процесі яких поширювалися шкідливі посилання, що вели до заражених ZIP-файлів, шкідливих документів і спеціальних файлів Windows. Через Backdoor хакери завантажували шкідливе програмне забезпечення, завдяки чому вивантажували дані, отримували доступ до мікрофонів пристроїв і т.д. У Malwarebytes зазначають, що Red Stinger, схоже, розробила власні хакерські інструменти та повторно використовує характерні сценарії та інфраструктуру, зокрема певні шкідливі генератори URL-адрес та IP-адрес.

Хакери з Red Stinger досі є активними. Тепер, коли подробиці про операції угруповання стали надбанням громадськості, воно може змінити методи та інструменти, щоб не попастися.

Раніше ми писали про те, що хакер зміг зламати 130 твіттер-акаунтів відомих людей і вкрасти приблизно $800 тис. Тепер він перебуває під слідством.