Франція розкрила кібератаки хакерів ГРУ на стратегічні об'єкти.

Франція звинуватила хакерів ГРУ з угруповання APT28 (Fancy Bear) у нападах на свою критичну інфраструктуру.

Згідно з звітом CERT-FR за період з 2021 по 2024 рік, були атаковані такі об'єкти:

• міністерства, місцеві органи влади та державні установи;
• організації оборонно-промислового комплексу (DTIB);
• аерокосмічні підприємства;
• дослідницькі установи та аналітичні центри;
• організації економічного та фінансового секторів.

Цілі атак у 2024 році

У 2024 році основними об'єктами атак стали урядові, дипломатичні, дослідницькі установи та аналітичні центри, включаючи французькі державні структури.

Нападники з групи APT28 спочатку проведення фішингові кампанії, використовуючи вразливості, включаючи "нульові дні", а також атаки на електронну пошту шляхом перебору паролів.

Приклади атак

Атаки на сервери пошти Roundcube через фішинг.

Нападники з APT28 розсилали фішингові листи користувачам, які працюють з поштовим сервером Roundcube. Листи містили посилання або шкідливий код, який експлуатував вразливості сервера. Метою атаки було отримати доступ до вмісту поштових скриньок, включаючи листи, контакти та конфіденційні дані, а також знайти нові цілі для подальших атак.

Кампанії 2023 року через безкоштовні веб-сервіси.

APT28 відправляли фішингові листи з посиланнями на домени безкоштовних хостингових сервісів InfinityFree. Користувачі завантажували ZIP-архів, який містив шкідливу програму HeadLace. Ця програма збирала облікові дані, такі як логіни та паролі, інформацію про систему та встановлювала планувальник завдань для постійного доступу.

Кампанія з використанням OceanMap Stealer.

Хакери використовували підвищену версію OceanMap Stealer - шкідливого ПЗ для крадіжки даних. Це ПЗ використовувало IMAP-протокол для вилучення збережених облікових даних з браузерів та відправлення цих даних зловмисникам через зашифровані канали.

Фішингові атаки на користувачів UKR.NET, Yahoo, ZimbraMail та Outlook Web Access.

Користувачі отримували фішингові листи з посиланнями на фальшиві сторінки входу до вищезгаданих сервісів з метою отримання їх логінів та паролів.

Це дослідження CERT-FR підтверджує звинувачення Франції щодо хакерських атак з боку ГРУ та угруповання APT28. Напади на критичну інфраструктуру Франції мали за мету отримання доступу до конфіденційних даних та збагачення бази даних новими цілями для майбутніх атак. Це підкреслює значення забезпечення кібербезпеки та захисту інформації в країні.