Экс-сотрудники СБУ в Крыму - наиболее активные хакеры, работающие против Украины - Госспецсвязи

Четверг, 2 ноября 2023, 16:22 -
 
Getty Images

Бывшие сотрудники СБУ в Автономной Республике Крым входят в наиболее активную хакерскую группировку, которая работает против Украины.

К такому выводу пришли в Государственной службе специальной связи и защиты информации Украины.

Как отмечается в аналитическом отчете Госспецсвязи Russia's Cyber Tactics H1'2023, больше всего кибератак на Украину (только в 2022 году - более 100), осуществила группа Armageddon / Gamaredon.

К Gamaredon принадлежат хакеры ялтинского подразделения ФСБ - бывшие сотрудники СБУ в АРК, которые перешли на сторону врага. Основной целью Gamaredon является шпионаж.

Реклама:

Отличительной чертой фишинговых рассылок группировки является высокий уровень их подготовки: знание украинского контекста и понимание специфики работы тех или иных организаций.

Эта группировка атакует государственный сектор, государственные предприятия, сектор безопасности и обороны и правоохранительные органы. Например, хакеры Gamaredon пытаются получить доступ ко всем возможным базам данных и добыть максимум информации об автомобилях, их передвижениях, камерах наблюдения, ситуации на дорогах, арестах и тому подобное.

При этом, Gamaredon удалось значительно увеличить общее количество операций. Если за весь 2022 год CERT-UA зарегистрировала 128 случаев, то только за первое полугодие 2023 года - уже 103. Однако не все из них были настолько успешными, как раньше.

Реклама:

Еще одна активная хакерская группа - Sandworm / UAC-0002 (UAC-0082 / UAC-0165), деятельность которой ассоциируется с Главным управлением Генштаба ВС РФ (ранее - ГРУ). В январе 2023 года эта группировка осуществила кибератаку на Украинское национальное информационное агентство УКРИНФОРМ. В апреле 2022 года - на один из энергетических объектов Украины с использованием вредоносных программ Industroyer2 и CaddyWiper.

В прошлом году также много кибератак пыталась осуществить группа UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel): хактивисты-кибершпионы из РФ. Например, в течение 2022 года было несколько случаев рассылки опасных писем с ВПО (вредоносное программное обеспечение). Рассылку, в частности, осуществляли со скомпрометированных электронных адресов государственных органов Украины.

Группа UAC-0098 (TrickBot - группа ассоциированная с РФ): финансово мотивированная в прошлом хакерская группа, которая в настоящее время действует в интересах правительства РФ. Например, в апреле 2022 года осуществляла кибератаку на государственные организации Украины путем рассылки опасных электронных писем с использованием темы "Азовстали" и вредоносной программы Cobalt Strike Beacon.

Группировка UAC-0035 (InvisiMole). Этих хакеров связывают со Службой внешней разведки РФ. Группа осуществляет медленные и "тихие" атаки, направленные на шпионаж. Их основной мишенью являются высокопоставленные чиновники, дипломаты и другие специалисты, которые имеют доступ к наиболее чувствительной информации. Поскольку такие "тихие" атаки сложнее обнаружить, они могут иметь более критические последствия.

Часто направляют свои усилия против Украины хакеры группировки UAC-0028 (АРТ28) (также известной как Pawn Storm, Fancy Bear, BlueDelta). Ряд исследователей связывают их со спецслужбами РФ.

Группа UAC-0100: мошенническая группа, действует с целью похищения средств граждан Украины. Мошенническая активность, осуществляемая неустановленной группой лиц путем создания фейковых веб-страниц и страниц в социальных сетях с использованием тематики "денежных пособий", "компенсаций", "опросов".

В первой половине 2023 года команда реагирования на компьютерные чрезвычайные происшествия CERT-UA зафиксировала постоянную деятельность не менее 23 российских кибертеррористических хакерских групп. Все они преследуют различные цели, в том числе и военные, и атакуют государственный и частный секторы.

В целом, в 2023 году наиболее активными группировками были:

  • UAC-0010 (Gamaredon / ФСБ),
  • UAC-0056 (Ember Bear / Генштаб ВС РФ (ГРУ),
  • UAC-0028 (APT28 / (Генштаб ВС РФ (ГРУ),
  • UAC-0002 (UAC-0082 / UAC-0165 / Sandworm / (Генштаб ВС РФ (ГРУ),
  • UAC-0003 (UAC-0024 / Turla / (Генштаб ВС РФ (ГРУ),
  • UAC-0004 (UAC-0029/APT29/Служба внешней разведки),
  • UAC-0109 (Заря - группа ассоциированная с РФ),
  • UAC-0100, UAC-0106 (XakNet - группа ассоциированная с РФ),
  • UAC-0107 (CyberArmyofRussia - группа ассоциирована с РФ).

Практически все крупнейшие зарегистрированные кибератаки были ассоциированы с этими APT-группировками.

Реклама: