В Google подозревают русских хакеров в атаках на оборонный и энергетический сектора Украины

Изображение: recraft
Эксперты Google связали серию атак на украинские структуры с ранее неизвестной хакерской группой, применяющей вредоносное ПО CANFAIL. Аналитики считают, что активность может быть связана с интересами пророссийских сил. Цели кампаний охватывают оборонный и энергетический контуры Украины.
Расследование провела группа Google Threat Intelligence Group. По её данным, хакеры сосредоточились на ведомствах регионального и национального уровня, структурах обороны, военных подразделениях и энергетических компаниях Украины. В поле внимания также попали государственные организации, отвечающие за стратегическую инфраструктуру.
Аналитики отмечают расширение интересов оператора. В списке потенциальных целей фигурируют предприятия аэрокосмической отрасли, производственные площадки, связанные с военными заказами и беспилотными системами, исследовательские центры в ядерной и химической сферах.
Кроме того, внимание уделяется международным структурам, которые занимаются мониторингом конфликта и гуманитарной поддержкой на территории Украины.
В Google считают, что по уровню оснащения группа уступает более известным российским киберподразделениям, но постепенно наращивает возможности. По оценке специалистов Google Threat Intelligence Group, хакеры начали использовать большие языковые модели для преодоления технических ограничений. С их помощью ведётся разведка, формируются материалы для социальной инженерии и уточняются технические детали, необходимые после проникновения в сеть и при развертывании инфраструктуры управления.
В последних фишинговых кампаниях атакующие представлялись украинскими энергетическими организациями национального и местного масштаба. Цель состояла в получении доступа к корпоративной и личной переписке сотрудников. Использовались письма с правдоподобным оформлением и тематикой, связанной с энергетическим сектором.
Также зафиксированы эпизоды, когда группа маскировалась под румынскую энергетическую компанию, сотрудничающую с клиентами на украинской территории. Сообщается о попытках воздействия на румынскую фирму и разведывательной активности в отношении организаций Молдавии. География интересов указывает на стремление оператора охватить соседние государства и структуры, взаимодействующие с Украиной.
Для подготовки операций формируются адресные списки электронной почты, сгруппированные по регионам и отраслям. Эти базы создаются на основе предварительного анализа открытых источников и профилей сотрудников. Цепочки атак содержат приманки, сгенерированные при помощи языковых моделей, что повышает их правдоподобие. В письмах размещаются ссылки на Google Drive, ведущие к архивам формата RAR. Внутри размещается вредоносный модуль CANFAIL, который активируется после открытия файла.



