Хакерская группа, которую поддерживает российское правительство, атаковала украинских военных, чтобы экспертам было труднее идентифицировать авторов атаки, хакерская группа использовала коммерческие хакерские программы и инфраструктуру.
Майкрософт опубликовала отчет other-groups-to-attack-ukraine/) с подробным описанием хакерской кампании, осуществленной группой под названием Secret Blizzard.О ней Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) ранее заявило, что эта группа является известным подразделением Центра 16 Федеральной службы безопасности России.
Исследователи Microsoft пишут, что Secret Blizzard использовала ботнет Amadey. Он продается на российских хакерских форумах и разработан группой киберпреступников. доступ к Amadey, заплатив за него, или сломала его.
«Secret Blizzard использует плацдармы третьих сторон — либо путем тайной кражи, либо покупки доступа — как конкретный и умышленный метод для установления шпионских точек», — говорится в отчете.
Одной из целей хакеров было избежать обнаружения Шеррод ДеГриппо, директор по стратегии разведки угроз Microsoft, сказал, что использование общедоступных хакерских инструментов позволяет потенциально скрыть свое происхождение и усложнить атрибуцию кибератаки.
Ботнет Amadey обычно используется киберпреступниками для установки криптомайнера.
В этой кампании Secret Blizzard нацелилась на компьютеры, связанные с Украинской армией и Украинской пограничной службой, сказал ДеГриппо. Microsoft заявила, что эти кибератаки происходят «по крайней мере, второй раз с 2022 года, когда Secret Blizzard использует общедоступные хакерские инструменты, чтобы облегчить создание своего плацдарма для собственных атак в Украине.
Известно, что Secret Blizzard нацелена на министерства иностранных дел, посольства, правительственные учреждения, министерства обороны и связанные с обороной компании по всему миру, сосредотачиваясь на долгосрочном шпионаже и сборе разведданных.
В этом случае образец вредоносного программного обеспечения Secret Blizzard, который проанализировала Microsoft, был разработан для сбора информации о системе жертвы — например, имя устройства и антивирусное программное обеспечение установлено — как первый шаг для дальнейшего развертывания другого вредоносного программного обеспечения и инструментов.
По словам исследователей Microsoft, группа Secret Blizzard развернула это злонамеренное программное обеспечение на устройствах, чтобы определить, вызывают ли цели дальнейший интерес. Например, Secret Blizzard нацелила устройства с подключением к Starlink — спутниковому интернету, который критически важен для украинской армии.
ДеГриппо сказал, что эта хакерская кампания была проведена Secret Blizzard частично из-за того, что хакеры использовали специальные бэкдоры под названием Tavdig и KazuarV2, которые никогда не использовались другими группами.
На прошлой неделе Microsoft и охранная фирма Black Lotus Lab опубликовали отчеты, которые показали, как Secret Blizzard привлекла инструменты и инфраструктуру другой национальной хакерской группы для своей шпионской деятельности с 2022 года. В этом случае Secret Blizzard подключила пакистанскую хакерскую группу к военным и разведывательным целям и Индии.
