Франция раскрыла кибератаки хакеров ГРУ на стратегические объекты

Мир 30.04.2025 - 12:05 810 просмотрели

30.04.2025 - 12:05 810 просмотрели

Французские власти представили детали кибератак, осуществлённых российскими хакерами на важнейшие инфраструктуры страны.

Франция обвинила хакеров ГРУ из группировки APT28 (Fancy Bear) в нападениях на свою критическую инфраструктуру.

Согласно отчету CERT-FR за период с 2021 по 2024 год, были атакованы такие объекты:

министерства, местные органы власти и государственные учреждения;
организации оборонно-промышленного комплекса (DTIB);
аэрокосмические предприятия;
исследовательские учреждения и аналитические центры;
организации экономического и финансового секторов.

Цели атак в 2024 году

В 2024 году основными объектами атак стали правительственные, дипломатические, исследовательские учреждения и аналитические центры, включая французские государственные структуры.

Нападающие из группы APT28 сначала проводили фишинговые кампании, используя уязвимости, включая 'нулевые дни', а также атаки на электронную почту путем подбора паролей.

Примеры атак

Атаки на серверы почты Roundcube через фишинг.

Нападающие из APT28 рассылали фишинговые письма пользователям, которые работают с почтовым сервером Roundcube. Письма содержали ссылки или вредоносный код, который эксплуатировал уязвимости сервера. Целью атаки было получить доступ к содержимому почтовых ящиков, включая письма, контакты и конфиденциальные данные, а также найти новые цели для дальнейших атак.

Кампании 2023 года через бесплатные веб-сервисы.

APT28 отправляли фишинговые письма со ссылками на домены бесплатных хостинговых сервисов InfinityFree. Пользователи загружали ZIP-архив, который содержал вредоносную программу HeadLace. Эта программа собирала учетные данные, такие как логины и пароли, информацию о системе и устанавливала планировщик задач для постоянного доступа.

Кампания с использованием OceanMap Stealer.

Хакеры использовали улучшенную версию OceanMap Stealer - вредоносного ПО для кражи данных. Это ПО использовало IMAP-протокол для извлечения сохраненных учетных данных из браузеров и отправления этих данных злоумышленникам через зашифрованные каналы.

Фишинговые атаки на пользователей UKR.NET, Yahoo, ZimbraMail и Outlook Web Access.

Пользователи получали фишинговые письма со ссылками на ложные страницы входа в вышеупомянутые сервисы с целью получения их логинов и паролей.

Это исследование CERT-FR подтверждает обвинения Франции в отношении хакерских атак со стороны ГРУ и группировки APT28. Нападения на критическую инфраструктуру Франции имели целью получение доступа к конфиденциальным данным и обогащение базы данных новыми целями для будущих атак. Это подчеркивает важность обеспечения кибербезопасности и защиты информации в стране.