Согласно новому исследованию, поддерживаемая российским правительством хакерская группа атаковала украинские военные, используя инструменты и инфраструктуру, разработанные киберпреступниками.
В среду Microsoft опубликовала отчет с подробным описанием хакерской кампании, проведенной группой под названием Secret Blizzard, которая, как ранее заявило Агентство кибербезопасности и безопасности инфраструктуры США (CISA), «почти наверняка подчиняется Центру Федеральной службы безопасности (ФСБ) России 18». », и который другие охранные компании называют Turla.
В отчете, представленном TechCrunch перед публикацией, исследователи Microsoft написали, что Secret Blizzard использовала ботнет, известный как Amadey, который предположительно продается на российских хакерских форумах и разработан группой киберпреступников, чтобы попытаться взломать «устройства, связанные с украинскими хакерами». военные» в период с марта по апрель этого года. Признавая, что компания все еще расследует, как Secret Blizzard получила доступ к Amadey, компания считает, что хакерская группа либо использовала ботнет, заплатив за него как за вредоносное ПО как за услугу, либо взломала его.
«Секретная компания Blizzard использовала плацдармы третьих лиц — либо путем тайной кражи, либо путем покупки доступа — в качестве конкретного и преднамеренного метода создания плацдармов, имеющих шпионскую ценность», — говорится в отчете, в котором ботнет Amadey упоминается как одна из таких третьих сторон.
Одной из целей хакеров было избежать обнаружения. Шеррод ДеГриппо, директор Microsoft по стратегии разведки угроз, рассказал TechCrunch, что «использование стандартных инструментов позволяет злоумышленнику потенциально скрыть свое происхождение и усложнить атрибуцию».
Связаться с нами
Есть ли у вас дополнительная информация о российских хакерах, нацеленных на Украину? Или другие операции кибершпионажа? С нерабочего устройства вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по телефону +1 917 257 1382, через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop.
Согласно отчету, ботнет Amadey обычно используется киберпреступниками для установки криптомайнера. Microsoft уверена, что хакеры, стоящие за Amadey, и те, кто стоит за Secret Blizzard, разные, сказал ДеГриппо.
В ходе этой кампании Secret Blizzard атаковала компьютеры, связанные с украинской армией и украинской пограничной службой, рассказал ДеГриппо TechCrunch. Microsoft заявила, что эти недавние кибератаки являются «как минимум вторым случаем с 2022 года, когда Secret Blizzard использовала кампанию по борьбе с киберпреступностью, чтобы облегчить распространение своего собственного вредоносного ПО в Украине».
Согласно отчету Microsoft, секретная Blizzard нацелена на «министерства иностранных дел, посольства, правительственные учреждения, министерства обороны и компании, связанные с обороной по всему миру», уделяя особое внимание долгосрочному шпионажу и сбору разведданных.
В данном случае образец вредоносного ПО Secret Blizzard, который проанализировала Microsoft, был разработан для сбора информации о системе жертвы — например, имени устройства и установленного антивирусного программного обеспечения (если таковое имеется) — в качестве первого шага для последующего развертывания других вредоносных программ и инструментов.
По мнению исследователей Microsoft, компания Secret Blizzard развернула это вредоносное ПО на устройствах, чтобы определить, представляют ли цели «дальнейший интерес». Например, Secret Blizzard атаковала устройства, использующие Starlink, спутниковую службу SpaceX, которую украинские военные использовали в своих операциях по борьбе с вторжением российских войск.
ДеГриппо заявил, что компания уверена, что эта хакерская кампания была проведена Secret Blizzard отчасти потому, что хакеры использовали специальные бэкдоры под названием Tavdig и KazuarV2, «никогда не использовавшиеся другими группами».
На прошлой неделе Microsoft и охранная фирма Black Lotus Lab опубликовали отчеты, в которых показано, как Secret Blizzard с 2022 года использует инструменты и инфраструктуру другой хакерской группы национального государства для своей шпионской деятельности. В этом случае, согласно исследованию двух компаний, , Secret Blizzard объединила базирующуюся в Пакистане хакерскую группу с целью добраться до военных и разведывательных объектов в Афганистане и Индии. В то время Microsoft отметила, что Secret Blizzard использовала эту технику для использования инструментов и инфраструктуры других хакеров с 2017 года, в частности, в делах, в которых участвовали хакеры из правительства Ирана и казахстанская хакерская группа.
Посольство России в Вашингтоне и ФСБ не ответили на запросы о комментариях.
