Хакеры, связанные с российским ГРУ, нацелились на оборонные компании Болгарии и Румынии в рамках масштабной шпионской кампании, направленной на сбор данных, связанных с войной в Украине, сообщили исследователи из компании ESET, обнаружившие операцию под названием RoundPress. За ней стоит хакерская группа Sednit (также известная как Fancy Bear или APT28), которую Минюст США ранее уже связывал с российской военной разведкой. Источник: helpnetsecurity
Главной целью атаки стала кража конфиденциальных данных с почтовых серверов через уязвимости в популярном программном обеспечении для веб-почты, таком как Horde, MDaemon, Roundcube и Zimbra. Sednit рассылала вредоносные письма с внедренными XSS-эксплойтами, которые активировались при открытии письма на уязвимом сервере. В результате на устройстве жертвы запускался JavaScript-код, способный красть логины, пароли, адресные книги и даже обходить двухфакторную аутентификацию.
Среди целей — украинские госструктуры и оборонные предприятия Болгарии и Румынии, включая те, которые производят советское вооружение для поставок Украине. Кроме того, хакеры атаковали правительственные организации в странах ЕС, Африки и Южной Америки.
Для фишинговых атак Sednit использовала заголовки, имитирующие новости, чтобы убедить жертв открыть письмо. В рассылке упоминались фальшивые новости о СБУ, Путине и Трампе. По словам экспертов, такие серверы веб-почты стали излюбленной целью шпионских групп, потому что многие организации не обновляют вовремя свое ПО, а сами уязвимости можно активировать удаленно.
Группа Sednit действует с 2004 года и была причастна к ряду резонансных атак, включая взлом серверов Демократической партии США перед выборами в 2016 году и утечки данных WADA.
Напомним, США разыскивают пятерых агентов ГРУ за кибератаки на инфраструктуру Украины.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet