Франция обвинила хакеров ГРУ из группировки APT28 (Fancy Bear) в нападениях на свою критическую инфраструктуру.
Согласно отчету CERT-FR за период с 2021 по 2024 год, были атакованы такие объекты:
- министерства, местные органы власти и государственные учреждения;
- организации оборонно-промышленного комплекса (DTIB);
- аэрокосмические предприятия;
- исследовательские учреждения и аналитические центры;
- организации экономического и финансового секторов.
Цели атак в 2024 году
В 2024 году основными объектами атак стали правительственные, дипломатические, исследовательские учреждения и аналитические центры, включая французские государственные структуры.
Нападающие из группы APT28 сначала проводили фишинговые кампании, используя уязвимости, включая 'нулевые дни', а также атаки на электронную почту путем подбора паролей.
Примеры атак
Атаки на серверы почты Roundcube через фишинг.
Нападающие из APT28 рассылали фишинговые письма пользователям, которые работают с почтовым сервером Roundcube. Письма содержали ссылки или вредоносный код, который эксплуатировал уязвимости сервера. Целью атаки было получить доступ к содержимому почтовых ящиков, включая письма, контакты и конфиденциальные данные, а также найти новые цели для дальнейших атак.
Кампании 2023 года через бесплатные веб-сервисы.
APT28 отправляли фишинговые письма со ссылками на домены бесплатных хостинговых сервисов InfinityFree. Пользователи загружали ZIP-архив, который содержал вредоносную программу HeadLace. Эта программа собирала учетные данные, такие как логины и пароли, информацию о системе и устанавливала планировщик задач для постоянного доступа.
Кампания с использованием OceanMap Stealer.
Хакеры использовали улучшенную версию OceanMap Stealer - вредоносного ПО для кражи данных. Это ПО использовало IMAP-протокол для извлечения сохраненных учетных данных из браузеров и отправления этих данных злоумышленникам через зашифрованные каналы.
Фишинговые атаки на пользователей UKR.NET, Yahoo, ZimbraMail и Outlook Web Access.
Пользователи получали фишинговые письма со ссылками на ложные страницы входа в вышеупомянутые сервисы с целью получения их логинов и паролей.
Это исследование CERT-FR подтверждает обвинения Франции в отношении хакерских атак со стороны ГРУ и группировки APT28. Нападения на критическую инфраструктуру Франции имели целью получение доступа к конфиденциальным данным и обогащение базы данных новыми целями для будущих атак. Это подчеркивает важность обеспечения кибербезопасности и защиты информации в стране.