Нова мистериозна хакерска група дебне в киберпространството на Украйна
Неидентифицираните нападатели са атакували хора от двете страни във войната на Русия против Украйна, извършвайки шпионски интервенции, които допускат държавно финансиране.
Украинските мрежи бяха обект на тъмно усъвършенствани и реформаторски хакерски атаки от Русия в продължение на съвсем десетилетие, а Украйна от ден на ден отвръща на удара, изключително след нашествието на Кремъл предходната година. На фона на всичко това и интензивността на други държавни управления и деятели, откриватели от компанията за сигурност Malwarebytes споделят, че са наблюдавали нова хакерска група, която организира шпионски интервенции от 2020 година насам както против проукраински цели в централна Украйна, по този начин и против проруски цели в Източна Украйна.
Malwarebytes приписва пет интервенции сред 2020 година и актуалната на групата, която се е нарекла Red Stinger. Мотивите на групата към момента не са ясни, само че цифровите им акции са забележителни със своята непримиримост, настъпателност и липса на връзки с други известни участници.
Кампанията, която Malwarebytes назовава „ Операция 4 “, беше ориентирана към член на украинската войска, който работи върху украинската сериозна инфраструктура, както и към други лица, чиято евентуална разследваща стойност е по-малко явна. По време на тази акция нападателите са компрометирали устройствата на жертвите, с цел да извличат екранни фотоси и документи и даже да записват аудио от микрофоните им.
В идната „ Операция 5 “ групата се насочи към голям брой чиновници от изборите, организиращи съветски референдуми в градове в Украйна, в това число Донецк и Мариупол. Една от задачите беше консултант в съветската Централна изборна комисия, а друга работи по превоза – евентуално железопътната инфраструктура – в района.
„ Бяхме сюрпризирани какъв брой огромни бяха тези целеви интервенции и какъв брой доста информация съумяха да съберат. “,
споделя Роберто Сантос, откривател на разузнаването на закани в Malwarebytes. Сантос си сътрудничи в следствието с някогашния му сътрудник Хосейн Джази, който пръв разпознава активността на Red Stinger.
„ Виждали сме минало целеустремено наблюдаване, само че е извънредно да се види фактът, че те са събирали същински записи от микрофон от жертви и данни от USB устройства. “
Изследователи от компанията за сигурност Kaspersky за първи път разгласиха информация за „ Операция 5 “ в края на март, назовавайки групата зад нея Bad Magic.
Kaspersky по сходен метод видя групата да се концентрира върху държавни и транспортни цели в Източна Украйна, дружно със аграрни.
„ Злонамереният програмен продукт и техниките, употребявани в тази акция, не са изключително комплицирани, само че са ефикасни и кодът няма директна връзка с известни акции. “
пишат откривателите на Kaspersky.
Кампаниите стартират с фишинг офанзиви за разпространяване на злонамерени връзки, които водят до инфектирани ZIP файлове, злонамерени документи и специфични свързващи файлове на Windows.
Оттам нападателите внедряват съществени скриптове, с цел да работят като задна врата и зареждащ механизъм за злотворен програмен продукт.
Изследователите на Malwarebytes означават, че Red Stinger наподобява е създал свои лични хакерски принадлежности и употребява наново присъщи скриптове и инфраструктура, в това число характерни генератори на злонамерени URL и IP адреси. Изследователите съумяха да разширят разбирането си за интервенциите на групата, откакто откриха две жертви, които наподобява са се заразили със злотворен програмен продукт Red Stinger, до момента в който са го тествали.
Red Stinger наподобява е деен и сега.
Изследователите на Malwarebytes споделят, че като разгласяват информация за активността на групата, те се надяват други организации да внедрят откривания за интервенции на Red Stinger и да търсят в личната си телеметрия спомагателни индикации за това какво са правили хакерите в предишното и кой стои зад групата.
