Російські хакери атакували компанії Болгарії, які постачають зброю в Україну

Хакери Fancy Bear розширюють географію своїх атак, полюючи на інформацію про оборонні поставки Україні.

Російська хакерська група Fancy Bear (APT28, Sednit) атакувала європейських постачальників зброї для України, зокрема в Болгарії.

Про це повідомляє Novinite з посиланням на ESET.

Атака Fancy Bear на постачальників зброї для України - подробиці

Хакерські атаки з 2023 року використовують вразливості поштових сервісів (Roundcube, Horde, MDaemon, Zimbra) для доступу до листів керівників зброярських компаній та чиновників різних країн. Остання атака – 17 квітня.

ESET виявила, що Fancy Bear застосовував фішинг та міжсайтовий скриптинг, використовуючи в тому числі вразливості “нульового дня”.

Перші сліди виявили в листах двох українських оборонних компаній та авіаперевізника у листопаді 2024 року.

У 2024 році жертвами кібератак стали оборонні фірми Болгарії та Румунії (виробники радянської зброї), регіональні органи влади Греції, Камеруну, Сербії та військові Еквадору.

Фішинг також був спрямований на українських високопосадовців для викрадення інформації про військові поставки.

Звіт ESET вказує, що головна мета Fancy Bear – розвідка щодо оборонного сектору України, а також атаки на організації в Латинській Америці, ЄС та Африці. Виявлено щонайменше 17 атакованих організацій.

Методи атак Fancy Bear: від фішингу до викрадення даних

Хакери розсилали спам з темами, що імітували новини про війну в Україні (“СБУ заарештувала банкіра”, “Путін хоче, щоб Трамп прийняв умови РФ”), щоб спонукати до переходу за шкідливими посиланнями або відкриття скомпрометованих поштових сторінок.

Після компрометації використовувався JavaScript для викрадення даних з поштових акаунтів (логіни, контакти, історія повідомлень).

У деяких випадках викрадали дані двофакторної автентифікації.

Франція також звинувачувала Fancy Bear в атаках на французькі установи, зокрема спробі зірвати вибори 2017 року та кібератаках до 2021 року.

МЗС Франції попереджало про триваючу російську кіберактивність.

ESET підкреслила, що Fancy Bear націлена на військових постачальників України та інші регіональні об’єкти, що свідчить про постійну увагу РФ до розвідки у контексті війни.