Хакери з групи Conti, які можуть бути пов'язані з рф, атакували об’єкти критичної інфраструктури України
Група кіберзлочинців, яка складається з колишніх учасників банди вимагачів Conti, тепер задіяна не лише у фінансових махінаціях, а й у політичних, пише The Verge. DOU дізнався, як саме з квітня
Через війну в Україні у регіоні зростає кіберактивність, зокрема хактивізм і радіоелектронна боротьба. Це спонукає кіберзлочинців включатися в гонитву за грошима, але вже орієнтуючись на геополітичну ситуацію.
З квітня по червень
DOU дізнався, що українська урядова команда реагування на комп’ютерні надзвичайні події CERT-UA зафіксувала близько десятка кібератак, спрямованих проти об’єктів критичної інфраструктури України (транспорт, енергетика тощо).
Члени цього кластера використовують свій досвід, щоб діяти як посередники початкового доступу — хакери, які спочатку компрометують комп’ютерну систему, а потім продають доступ іншим суб’єктам, які зацікавлені в експлуатації цілі.
У ході нещодавніх кампаній злочинці надсилали фішингові електронні листи низці українських держустанов й видавали себе за Кіберполіцію України. В ході інших фішингових кампаній вони видавали себе за представників Starlink. Ці листи містили посилання на встановлення шкідливих програм, але були замасковані під ПЗ, що потрібне для підключення до інтернету через Starlink. Група, пов’язана з Conti, також використовувала вразливість Follina у системах Windows.
«Кіберзлочинці поряд з Metasploit та Cobalt Strike Beacon, використовували „унікальний“ інструментарій: шкідливі програми: IcedID (Anubis), AnchorMail та відповідний криптор. Згадані програми були прерогативою організованих зловмисних груп Wizard Spider (Conti/TrickBot) /Lunar Spider (IcedID) та до квітня 2022 року використовувались в атаках на організації поза межами України. Враховуючи релевантність виявленої активності для України, створено окремий кластер UAC-0098», — каже Євгенія Волівник, керівниця CERT-UA Держспецзв’язку.
Команда CERT-UA повідомляла про можливі кіберататки. Крім того, вони детально вивчали кіберзагрози та підтвердили факт використання ресурсів згаданих груп для цільових атак на об’єкти в Україні. Для прикладу, одна з таких «кампаній» мала умовну назву «ZOV».
«Нагадаю, що група Conti після початку збройної агресії росії проти України невдало заявила про підтримку дій країни-агресора. Невдовзі після цього згаданий колектив припинив своє існування: частину його учасників було деанонімізовано дослідниками, а внутрішнє листування та інші дані були опубліковані в мережі Інтернет», — додає Волівник.
Загалом же такі кейси свідчать про те, що кіберзлочинці тепер адаптують свою діяльність відповідно до геополітичних інтересів в тому чи іншому регіоні.