15.01.2022
К масштабной кибератаке на Украину, по первоначальной версии, может быть причастная группа UNC1151. Некоторые тактики, техники и процедуры (очень напоминают так называемую операцию Ghostwriter, которая обеспечивается группой UNC1151.
Об этом сообщил в комментарии РБК-Украина бывший глава Киберполиции Сергей Демедюк.
"Это кибершпионская группа, аффилированная со спецслужбами Белоруси, которая в своих атаках использует инструментарий под названием credential harvesting (тип атаки, направленный на несанкционированный доступ к почтовым аккаунтам) с последующим распространением вредоносного программного обеспечения", - заявил он.
По словам Демедюка, деятельность хакерской группы в первую очередь направлена на аудиторию в Литве, Латвии, Польши и Украины и информационно имела нарратив, критиковавший присутствие НАТО в Северной Европе.
"В 2021 году мы стали фиксировать, что эта группировка расширила свои нарративы и технические подходы связанные с активностью Ghostwriter. Например, несколько последних операций группа активно использовала скомпрометированные учетные записи польских чиновников правого направления, направленного на усиление внутриполитических разногласий в Польше", - добавил экс-глава Киберполиции.
По его словам, свои операции хакеры проводили преимущественно в Европе на английском и польском языках и отличались по своим векторам, которые не были похожи на обычные действия, использовавшиеся Ghostwriter. К примеру, компрометация государственных сайтов, распространение фейковых заявлений, прямая дезинформация, использование вредоносного программного обеспечение, которое часто используется группой АТР-29, для кражи данных с госреестров и шифрования их серверов.
"Такой же инструментарий был использован и при атаке на государственные сайты 14 января. А именно анализ контента распространенного на польском языке, как и в похожих операциях, совершавшихся в 2021 году указывает, что он создавался исключительно с использованием Google-translate", - заявил Демедюк.
При этом он подчеркнул, что в метаданных картинки, которая была загружена на взломанные ресурсы, остались координаты школы в Польше.
"Очевидно, что этим примитивным методом им не удалось ввести никого в заблуждение, но все же это свидетельство того, что атакующие "играли" на польско-украинских взаимоотношениях", - заявил он.
Демедюк заявил, что вредоносное ПО, которое использовали для шифрования некоторых госсерверов по своим характеристикам похоже на то, что использует группировка APT29.
"В Украине их традиционно интересует внешнеполитическое ведомство, правоохранительные органы. В данный момент рано делать какие-то окончательные выводы. Так же не стоит исключать из подозрений группу Sandworm, ведь деструктивные мероприятия - это их любимый метод достижения цели, - добавил экс-глава Киберполиции.
Он также не исключил необходимость проверки фактов возможного объединения хакерских групп для атак против Украины.
"Это и остается выяснить во время расследования пятничной атаки, которое проводят правоохранительные и специальные органы Украины", - добавил Демедюк.
Напомним, в ночь на 14 января была совершена крупнейшая за четыре года кибератака на Украину, она "положила" ряд правительственных сайтов, а также портал государственных услуг "Дия".
Служба безопасности Украины заявила, что есть признаки причастности спецслужб России к этой кибератаке.
Источник: РБК-Украина
Читайте также:
22.11.2024 Почему прицел Аункера так популярен среди игроков CS 2
22.11.2024 Во многих областях Украины объявили тревогу, сообщают об угрозе баллистики
22.11.2024 ВСУ будут использовать переданные США противопехотные мины на фронте в Украине, - Пентагон
22.11.2024 Обстрел Сум: из-за российской атаки есть жертвы
22.11.2024 ВСУ имели успех под Угледаром, враг мог продвинуться возле Великой Новоселки: карты ISW