Хакеры ГРУ реанимировали старые методы кибершпионажа

Группировка APT28, известная как Fancy Bear и тесно связанная с российским ГРУ, реанимировала свои старые наработки для проведения масштабных операций кибершпионажа. Источник: Cyberinsider

Как установили исследователи безопасности из компании ESET, хакеры из подразделения 26165 не просто вернулись к активной работе, но и создали продвинутый цифровой арсенал, в котором проверенные временем методы десятилетней давности сочетаются с современными облачными технологиями.

Всплеск активности был зафиксирован в апреле 2024 года, когда украинский центр реагирования на чрезвычайные ситуации (CERT-UA) обнаружил в правительственных сетях программу-шпион SlimAgent. Анализ кода показал, что этот инструмент является прямой модернизацией печально известного модуля XAgent, который был флагманом российских кибератак в 2010-х годах. SlimAgent эффективно перехватывает нажатия клавиш, делает снимки экрана и ворует данные из буфера обмена, причем формат его отчетов полностью идентичен старым образцам ГРУ, что подтверждает преемственность внутри команды разработчиков.

Специалисты обнаружили, что хакеры не создавали новые инструменты с нуля, а годами поддерживали и совершенствовали свою внутреннюю кодовую базу. Некоторые образцы, датируемые еще 2018 годом, содержат уникальный шестиступенчатый цикл сбора данных, характерный именно для почерка Fancy Bear. В ходе последних атак SlimAgent действовал в паре с другим имплантом под названием BeardShell. Этот инструмент на базе PowerShell использует легитимные облачные сервисы в качестве командных центров. Например, через хранилище Icedrive хакеры передают команды в виде скрытых файлов. Поскольку у этого сервиса нет открытого программного интерфейса, разработчики ГРУ вручную переписали запросы официального клиента и выпускают обновления в течение нескольких часов каждый раз, когда облачный провайдер меняет настройки своего сайта.

Связь нынешних атак с классическими операциями ГРУ подтверждается и использованием крайне редких математических методов маскировки кода, так называемых непрозрачных предикатов. Ранее эта техника встречалась только в инструменте Xtunnel, который группировка использовала для взломов еще в 2013–2016 годах. Однако наиболее опасным нововведением стала радикальная модификация открытой платформы Covenant. Хакеры полностью перестроили ее архитектуру: внедрили систему постоянных идентификаторов для слежки за конкретными компьютерами даже после перезагрузки, изменили алгоритмы запуска для обхода антивирусов и добавили модули связи через облака pCloud, Koofr и Filen.

В реальных боевых условиях хакеры ГРУ применяют тактику избыточности, одновременно развертывая BeardShell и Covenant через разных облачных провайдеров. Это позволяет им моментально восстанавливать контроль над взломанной системой, если один из каналов связи будет обнаружен и заблокирован. Эксперты уверены, что возвращение к производству столь сложных и узкоспециализированных шпионских программ напрямую связано с разведывательными приоритетами России в условиях продолжающейся войны на Украине. Масштаб и технический уровень этих инструментов говорят о том, что команда разработчиков APT28 снова переведена на режим полной оперативной готовности.

Напомним, связанные со спецслужбами РФ хакеры запустили новые инструменты кибершпионажа.

# # #

Только главные новости в нашем Telegram, Facebook и GoogleNews!