Хакери Кремля. Дослідники з’ясували походження угруповання кіберзлочинців Cuba Ransomware, яке постійно атакує Україну
IT-індустрія20 травня 2023, 20:02
Група кіберзлочинців Cuba Ransomware, яка причетна до цифрових атак на Україну, працює на російський уряд.
Зловмисники намагалися приховати зв’язки з Кремлем за маскою вигаданих віртуальних особистостей.
Однак команда дослідників змогла розкрити суть цієї організації. Її сліди ведуть до Росії.
Передплатіть NV Преміум та читайте без обмежень
Нам необхідна ваша підтримка, щоб займатися якісною журналістикою
Кремлівське коріння хакерського угруповання
Дослідники в галузі безпеки BlackBerry повідомили, що основна мета Cuba Ransomware — українські військові частини та місцеві органи влади. Про це повідомляє видання TechCrunch.
Для атаки на них група використовувала шкідливе програмне забезпечення RomCom RAT.
І прикривалася неправдивими твердженнями про зв’язок із Кубою.
«Це помилкове твердження», — пояснює Дмитро Бестужев, старший директор групи BlackBerry, говорячи про зв’язок між RomCom RAT і Кубою.
«Схоже, що це просто ще один підрозділ, який працює на російський уряд», — сказав він.
Хибний взаємозв'язок із Кубою продиктований зображеннями Фіделя Кастро і Че Гевари на сайті Cuba Ransomware у даркнеті.
Дослідники BlackBerry рік спостерігали за діяльністю зловмисників і побачили, що їхньою метою ставали члени українського уряду та об'єкти на території нашої країни.
Російські хакери неодноразово використовували різні цифрові сертифікати для реєстрації підроблених доменів, які застосовували для поширення шкідливого ПЗ.
Наприклад, у березні кіберзлочинці, які працюють на Кремль, створили цифровий сертифікат, що належить до Австрії, для підпису сайту-пастки з вірусами.
Це сталося напередодні виступу президента України Володимира Зеленського в австрійському парламенті 23 березня 2022 року.
Ще один приклад — імітація Remote Desktop Manager. Випадок зафіксовано в березні вже поточного року, коли українські пілоти почали проходити навчання на винищувачах F-16, а Польща і Словаччина погодилися надати МіГ-29 для ЗСУ.
«Тому щоразу, коли відбувалася якась важлива подія, наприклад, щось важливе в геополітиці, і особливо у військовій сфері, RomCom RAT був тут як тут», — сказав Бестужев.
Варто зазначити, що RomCom RAT являє собою троян віддаленого доступу.
Вірус уперше виявила Unit 42, дослідницька група з безпеки у складі Palo Alto Networks, у травні 2022 року. Раніше фахівці вважали, що шкідливе ПЗ поширювала Cuba Ransomware для отримання фінансової вигоди.
Організація нібито задіяла RomCom RAT у таких секторах, як «фінансові послуги, урядові установи, охорона здоров’я та громадське здоров’я, критично важливі виробництва та інформаційні технології».
Однак дослідники BlackBerry спростували це, виявивши зв’язок групи хакерів із Кремлем.
Діяльність російських хакерів під час війни
Після повномасштабного російського вторгнення в Україну 24 лютого 2022 року кремлівські хакери почали діяти набагато активніше. Вони атакували всі сектори життєдіяльності нашої держави — від енергетики до органів влади в областях.
А головними цілями зловмисників стали держреєстри та державні інформаційні системи, про що повідомив міністр цифрової трансформації Михайло Федоров. Однак своєї мети хакери не досягли: за понад рік повномасштабної війни не було жодного витоку даних.
Окремо Федоров розповів про інтенсивність кібератак: «Якщо ми говоримо про офіційно зафіксовані атаки, то це понад дві тисячі. Це за рік. Але насправді відбувається кібервійна, коли атакуються безліч інформаційних систем. І ці атаки не фіксуються. Але відбуваються. Тому ми можемо говорити про набагато більшу кількість атак. І кожну секунду, кожну хвилину відбувається атака на ті чи інші інформаційні системи».
Водночас у Міністерстві енергетики станом на листопад 2022 року зафіксували 1,2 млн спроб хакерів вплинути на енергосектор України. У 2021-му ця кількість дещо менша — близько 900 тис. спроб злому, що демонструє збільшену інтенсивність атак.
За даними зі звіту Туман війни: як конфлікт в Україні змінив ландшафт кіберзагроз, підготовленого Групою аналізу загроз Google (Threat Analysis Group, TAG), компаніями Mandiant і Trust & Safety, кібератаки на Україну і країни НАТО організовують п’ять прокремлівських хакерських груп.
Це FrozenLake, Coldrive, Summit, FrozenBarentz і FrozenVista. Частина з них контролюються ФСБ і ГРУ.
Як одну з атак на Північноатлантичний альянс можна згадати випадок у лютому 2023 року, коли зловмисники "поклали" сайти НАТО. Тоді організаторами злому вважалися хакери з угруповання Killnet.
Фахівці з CERT-UA, що працюють при Державній службі спецзв’язку, вважають, що інтенсивність кібератак свідчить про підготовку Росії до тривалої війни. Кількість спроб злому знизилася лише в січні через новорічні свята. А вже в лютому кількість кібератак зросла до стандартної.