Cunoscut și sub denumirile APT28, Sednit, Forest Blizzard sau Sofacy, grupul Fancy Bear a fost observat exploatând vulnerabilități de tip cross-site scripting (XSS) și alte breșe cunoscute în software-uri precum Roundcube, Horde, MDaemon și Zimbra, potrivit Cyberscoop.com.
Unul dintre aceste defecte, identificat ca CVE-2024-11182, este suspectat de cercetătorii ESET a fi fost descoperit și exploatat în premieră (zero-day) de către Fancy Bear în noiembrie 2024, în atacuri direcționate împotriva a două companii de stat ucrainene din domeniul apărării și a unei companii civile de transport aerian.
Matthieu Faou, cercetător senior în malware la ESET, a explicat că analiza sa indică Sednit ca fiind singurul actor cibernetic care utilizează acest exploit specific, sugerând fie dezvoltarea internă, fie achiziționarea sa de pe piața neagră. Celelalte programe de webmail au fost compromise prin vulnerabilități deja cunoscute și pentru care existau patch-uri disponibile, subliniind un accent puternic al grupului Fancy Bear pe identificarea și exploatarea breșelor în diverse platforme de email.
Firme din România și Bulgaria, ţinte ale unei campanii de spionaj cibernetic
Victimele identificate în 2024 acoperă o gamă largă, incluzând oficiali din guverne regionale naționale din Ucraina, Grecia, Camerun și Serbia, oficiali militari din Ucraina și Ecuador, precum și angajați ai firmelor contractoare din domeniul apărării din Ucraina, România și Bulgaria.
Raportul ESET subliniază că cele mai multe dintre ținte sunt legate direct de războiul din Ucraina. "Majoritatea țintelor sunt legate de războiul actual din Ucraina; sunt fie entități guvernamentale ucrainene, fie companii de apărare din Bulgaria și România. În special, unele dintre aceste companii de apărare produc arme din perioda sovietică pentru a fi trimise în Ucraina", se arată în raport. Aceasta indică clar o motivație legată de obținerea de informații despre lanțul de aprovizionare militară al Ucrainei, potrivit analizei realizate de Ars Technica asupra raportului publicat de compania ESET.
Campania utilizează tehnici de spearphishing, trimițând emailuri cu titluri false preluate din surse de știri ucrainene proeminente, cum ar fi Kyiv Post, pentru a exploata interesul victimelor pentru conflictul din Ucraina.
Titluri precum "SBU a arestat un bancher care lucra pentru serviciile militare inamice în Harkov" sau "Putin este interesat ca Trump să accepte condițiilor rusești în cadrul relațiile bilaterale" au fost folosite pentru a convinge țintele să deschidă emailurile. Odată deschise aceste link-uri, un payload JavaScript malițios era executat prin intermediul XSS, permițând exfiltrarea de date precum mesaje, agende, contacte și istoricul de conectare.
În cazul software-ului MDaemon, cel puțin o vulnerabilitate exploatată a permis furtul de parole și secrete pentru autentificarea în doi factori (2FA), permițând atacatorilor să ocolească această măsură de securitate și să acceseze căsuța poștală printr-o altă aplicație. Deși codul JavaScript nu dispune de mecanisme sofisticate de persistență, malware-ul este reîncărcat de fiecare dată când victima deschide emailul malițios.
Aceste descoperiri reconfirmă agresivitatea grupului de hacking rusesc Fancy Bear. Grupul este cunoscut pentru atacuri cibernetice de mare aploare, inclusiv compromiterea emailurilor Comitetului Național Democrat din SUA înaintea alegerilor prezidențiale din 2016. Mai recent, Ministerul francez al Afacerilor Externe a acuzat APT28 de tentative sau atacuri reușite împotriva a peste zece entități franceze din 2021, precum și de eforturi de "destabilizare" a alegerilor franceze din 2017. Intelligence-ul francez a publicat săptămâna aceasta un raport detaliat despre țintirea organizațiilor franceze de către grup încă din 2015.
ESET a identificat cel puțin 17 organizații victimă distincte în această campanie de webmail. Deși nu toate au fost compromise cu succes – ESET reușind să blocheze emailul, scriptul malițios sau conexiunea de exfiltrare a datelor pentru "majoritatea" – eforturile rusești de colectare de informații rămân o amenințare semnificativă.
Matthieu Faou consideră că dovezile indică sustragerea informațiilor legate de baza de apărare a Ucrainei ca motivație principală, iar victimele din alte țări reflectă faptul că GRU are, de asemenea, sarcina de a colecta informații de la o varietate largă de ținte la nivel mondial, inclusiv guverne și entități militare din America Latină, Uniunea Europeană și Africa.
Cercetătorii de la ESET continuă să monitorizeze îndeaproape operațiunea pentru a detecta exploatarea rapidă a eventualelor noi vulnerabilități zero-day în aplicațiile de webmail. Campania subliniază riscurile persistente la adresa securității cibernetice, în special pentru entitățile implicate direct sau indirect în sprijinirea apărării Ucrainei.
DefenseRomania App
Fii primul care află cele mai importante știri din domeniu cu aplicația DefenseRomania. Downloadează aplicația DefenseRomania de pe telefonul tău Android (Magazin Play) sau iOS (App Store) și ești la un click distanță de noi în permanență
Fiți la curent cu ultimele noutăți. Urmăriți DefenseRomania și pe Google News
