Западные спецслужбы обвинили хакеров ГРУ во взломе камер на территории Украины и Европы для слежки за поставками ВСУ

Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало результаты расследования кибератак на инфраструктуру стран НАТО и камеры в соседними с Украиной государствами. Спецслужбисты обвиняют во взломе российских хакеров.

Документ составили более 20 спецслужб, включая американские, польские, немецкие, чешские, британские, австралийские, канадские, датские, эстонские, французские и голландские ведомства. Все они пришли к выводу о том, что атаку устроила подконтрольная ГРУ (ГУ ГШ ВС РФ) хакерская группировка, известная как APT28, Fancy Bear и Forest Blizzard. Согласно имеющимся данным, взломщики действуют в качестве фактических агентов воинской части 26165.

Согласно отчёту, взломам подверглись устройства в Болгарии, Чехии, Франции, Германии, Греции, Италии, Молдове, Нидерландах, Польше, Румынии, Словакии, Украине и Штатах. Объекты, подвергавшихся атакам, в основном действовали в сферах оборонной промышленности, логистики, управления воздушным транспортом и разработкой ПО. Среди предприятий, которые попадали под ограничения, также были морские и воздушные порты.

Документ детально описывает методы и уязвимости, при помощи которых осуществлялись атаки. «Почерк» хакеров и полученные специалистами по кибербезопасности данные показывают, что в нападении на инфраструктуру стран НАТО участвовали связанные с Кремлём хакеры. В процессе использовались как программные уязвимости, так и социальная инженерия, включая фишинговые рассылки. Часть программ оказались новой версией написанных ранее вирусов, хотя некоторые инструменты хакеры разработали самостоятельно. Злоумышленников интересовали базы данных, в которых говорилось о поставках ВСУ. В частности, они пытались выяснить какое оружие, в каких количествах и когда поставят Украине.

«Для перемещения по окружению агенты использовали собственные команды и инструменты с открытым исходным кодом, такие как Impacket и PsExec . В зависимости от окружения жертвы использовалось несколько скриптов Impacket в виде .exe-файлов, а также python-версии <..> Получив первоначальный доступ к сети, агенты продолжили работу над доступом к учетным записям с конфиденциальной информацией о поставках, такой как расписание движения поездов и транспортные накладные. Эти аккаунты содержали информацию о поставках помощи в Украину: отправитель, получатель, номера поездов/самолётов/кораблей, пункты отправки и назначения, регистрационные номера контейнеров, маршрут его следования и содержимое», — говорится в описании одной из атак.

Отдельная часть хакерской кампании касалось попытки получить записи с камер наблюдения. В абсолютном большинстве случаев взломать пытались устройства с украинским IP-адресом. Тем не менее, в ряде случаев хакеры пытались взломать камеры соседних стран, включая Польшу, Румынию, Венгрию, и Словакию. Сколько именно камер попытались взломать таким образом, до сих пор неизвестно: спецслужбы остановились, когда обнаружили 10 тысяч.

В прошлом году APT28 обвинили во взломе роутеров в Германии и других странах для проведения массовых кибератак. Минюст США конфисковал домены хакеров ФСБ, которые использовались для фишинга.