Хакеры Кремля. Исследователи выяснили происхождение группировки киберпреступников Cuba Ransomware, которая постоянно атакует Украину
IT-индустрия20 мая 2023, 20:02
Группа киберпреступников Cuba Ransomware, которая причастна к цифровым атакам на Украину, работает на российское правительство.
Злоумышленники пытались скрыть связи с Кремлем за маской вымышленных виртуальных личностей.
Однако команда исследователей смогла раскрыть суть этой организации. Ее следы ведут в Россию.
Подпишитесь на NV Премиум и читайте без ограничений
Нам необходима ваша поддержка, чтобы заниматься качественной журналистикой
Кремлевские корни хакерской группировки
Исследователи в области безопасности BlackBerry сообщили, что основная цель Cuba Ransomware — украинские воинские части и местные органы власти. Об этом сообщает издание TechCrunch.
Для атаки на них группа использовала вредоносное программное обеспечение RomCom RAT.
И прикрывалась ложными утверждениями о связи с Кубой.
«Это ложное утверждение», — поясняет Дмитрий Бестужев, старший директор группы BlackBerry, говоря о связи между RomCom RAT и Кубой.
«Похоже, что это просто еще одно подразделение, работающее на российское правительство», — сказал он.
Ошибочная взаимосвязь с Кубой продиктована изображениями Фиделя Кастро и Че Гевары на сайте Cuba Ransomware в даркнете.
Исследователи BlackBerry год наблюдали за деятельностью злоумышленников и увидели, что их целью становились члены украинского правительства и объекты на территории нашей страны.
Российские хакеры неоднократно использовали различные цифровые сертификаты для регистрации поддельных доменов, которые применялись для распространения вредоносного ПО.
Например, в марте киберпреступники, работающие на Кремль, создали цифровой сертификат, относящийся к Австрии, для подписи сайта-ловушки с вирусами.
Это произошло накануне выступления президента Украины Владимира Зеленского в австрийском парламенте 23 марта 2022 года.
Еще один пример — имитация Remote Desktop Manager. Случай зафиксирован в марте уже текущего года, когда украинские пилоты начали проходить обучение на истребителях F-16, а Польша и Словакия согласились предоставить МиГ-29 для ВСУ.
«Поэтому каждый раз, когда происходило какое-то важное событие, например, что-то важное в геополитике, и особенно в военной сфере, RomCom RAT был тут как тут», — сказал Бестужев.
Стоит отметить, что RomCom RAT представляет собой троян удаленного доступа.
Вирус впервые обнаружила Unit 42, исследовательская группа по безопасности в составе Palo Alto Networks, в мае 2022 года. Ранее специалисты считали, что вредоносное ПО распространяла Cuba Ransomware для получения финансовой выгоды.
Организация якобы задействовала RomCom RAT в таких секторах, как «финансовые услуги, правительственные учреждения, здравоохранение и общественное здоровье, критически важные производства и информационные технологии».
Однако исследователи BlackBerry опровергли это, обнаружив связь группы хакеров с Кремлем.
Деятельность российских хакеров во время войны
После полномасштабного российского вторжения в Украину 24 февраля 2022 года кремлевские хакеры начали действовать гораздо более активно. Они атаковали все сектора жизнедеятельности нашего государства — от энергетики до органов власти в областях.
А главными целями злоумышленников стали госреестры и государственные информационные системы, о чем сообщил министр цифровой трансформации Михаил Федоров. Однако своей цели хакеры не достигли: за более чем год полномасштабной войны не было ни одной утечки данных.
Отдельно Федоров рассказал об интенсивности кибератак: «Если мы говорим об официально зафиксированных атаках, то это более двух тысяч. Это за год. Но на самом деле происходит кибервойна, когда атакуются множество информационных систем. И эти атаки не фиксируются. Но происходят. Поэтому мы можем говорить о гораздо большем количестве атак. И каждую секунду, каждую минуту происходит атака на те или иные информационные системы».
При этом в Министерстве энергетики по состоянию на ноябрь 2022 года зафиксировали 1,2 млн попыток хакеров повлиять на энергосектор Украины. В 2021-м это количество несколько меньше — около 900 тыс попыток взлома, что демонстрирует возросшую интенсивность атак.
По данным из отчета Туман войны: как конфликт в Украине изменил ландшафт киберугроз, подготовленного Группой анализа угроз Google (Threat Analysis Group, TAG), компаниями Mandiant и Trust & Safety, кибератаки на Украину и страны НАТО организовывают пять прокремлевских хакерских групп.
Это FrozenLake, Coldrive, Summit, FrozenBarentz и FrozenVista. Часть из них контролируются ФСБ и ГРУ.
В качестве одной из атак на Североатлантический альянс можно упомянуть случай в феврале 2023 года, когда злоумышленники "положили" сайты НАТО. Тогда организаторами взлома считались хакеры из группировки Killnet.
Специалисты из CERT-UA, работающие при Государственной службе спецсвязи, считают, что интенсивность кибератак свидетельствует о подготовке России к продолжительной войне. Количество попыток взлома снизилось лишь в январе из-за новогодних праздников. А уже в феврале число кибератак выросло до стандартного.