Казахстан назван целью российских хакеров

Астана. 14 января. КазТАГ – Российские хакеры приписываются к кампании кибершпионажа против Казахстана в рамках усилий Кремля по сбору экономической и политической информации в Центральной Азии, сообщает The Hacker News.

«Связанные с Россией киберпреступники приписываются к продолжающейся кампании кибершпионажа, направленной против Казахстана в рамках усилий Кремля по сбору экономической и политической разведывательной информации в Центральной Азии», - говорится в сообщении.

Атаки приписываются группе под кодовым названием UAC-0063, которая, предположительно, связана с APT28 – хакерской организацией, аффилированной с Главным управлением Генштаба России (ГРУ). Группа также известна как Fancy Bear, Sofacy и другими именами.

«UAC-0063 был впервые задокументирован Группой реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) в начале 2023 года, в котором подробно описывались его атаки на государственные учреждения с использованием семейств вредоносных программ, отслеживаемых как HATVIBE, CHERRYSPY и STILLARCH (он же DownEx). Стоит отметить, что использование этих штаммов вредоносных программ было эксклюзивным для этой группы», - отмечается на сайте.

Согласно данным французской компании Sekoia, деятельность UAC-0063 включает сбор разведывательной информации в таких секторах, как государственное управление, дипломатия, НПО, академия, энергетика и оборона. Основная географическая направленность – Украина, Центральная Азия и Восточная Европа.

В материале говорится, что недавние атаки включали использование документов Microsoft Office, якобы выпущенных министерством иностранных дел Казахстана, в качестве приманки для фишинговых рассылок. При открытии таких документов жертва инициирует цепочку заражения «Double-Tap», которая в конечном итоге активирует вредоносное ПО HATVIBE. Вредоносный макрос в документе создает новый файл в скрытой папке, который запускает вредоносный скрипт HATVIBE, работающий как загрузчик и обеспечивающий дальнейшее развертывание модулей. Впоследствии используются сложные способы обхода антивирусных программ, включая скрытность макросов и использование Python-бэкдора CHERRYSPY.

«Эту цепочку заражения Double-Tap делает уникальной то, что она использует множество приемов для обхода решений безопасности, таких как сохранение настоящего вредоносного кода макроса в файле settings.xml и создание запланированной задачи без запуска schtasks.exe для второго документа или использование для первого документа антиэмуляционного приема, направленного на проверку того, не было ли изменено время выполнения, в противном случае макрос останавливается», - говорят исследователи.

Sekoia также отметила схожесть этих атак с операциями, ранее проводившимися группой APT28. Со средней вероятностью UAC-0063 является ее частью. Кампания направлена на сбор стратегической информации о дипломатических отношениях Казахстана и соседних стран.

На фоне этих событий сообщается, что несколько стран Центральной Азии, включая Казахстан, приобрели технологию перехвата данных SORM у российских компаний, таких как Norsi-Trans и Protei. Эта система позволяет российским спецслужбам следить за интернет-трафиком и коммуникациями.

Было отмечено, что Беларусь, Казахстан, Кыргызстан и Узбекистан, а также латиноамериканские страны Куба и Никарагуа, скорее всего, приобрели технологию для прослушивания телефонных разговоров граждан.

«Хотя эти системы имеют законное применение в целях безопасности, правительства (...) имеют опыт злоупотребления возможностями слежки, включая репрессии против политической оппозиции, журналистов и активистов, без эффективного или независимого надзора», - заявило подразделение Recorded Future по исследованию угроз Insikt Group.

Эксперты предупреждают, что экспорт российских систем слежения позволяет Москве усиливать свое влияние в странах, относимых к сфере ее традиционной сфере «ближнего зарубежья».

Источник фото: pixabay.com