Хакерська група, яку підтримує російський уряд, атакувала українських війсюкових. Щоб експертам було важче ідентифікувати авторів атаки, хакерська група використала комерційні хакерські програми та інфраструктуру. Кіберзлочинці створюють таку інфраструктуру на продаж, щоб після купівлі бажаючі могли самостійно проводити кібератаки.
Microsoft опублікувала звіт (https://www.microsoft.com/en-us/security/blog/2024/12/11/frequent-freeloader-part-ii-russian-actor-secret-blizzard-using-tools-of-other-groups-to-attack-ukraine/) із детальним описом хакерської кампанії, здійсненої групою під назвою Secret Blizzard. Про неї Агентство з кібербезпеки та безпеки інфраструктури США (CISA) раніше заявило, що ця група є відомим підрозділом Центру 16 Федеральної служби безпеки Росії. Інші експерти кібербезпеки називають її Turla.
Дослідники Microsoft пишуть, що Secret Blizzard використовувала ботнет Amadey. Він продається на російських хакерських форумах і розроблений групою кіберзлочинців. Держакери використали його, щоб спробувати зламати пристрої, пов’язані з українськими військовими у період з березня по квітень цього року. Група Secret Blizzard отримала доступ до Amadey, заплативши за нього, або зламала його.
«Secret Blizzard використовує плацдарми третіх сторін — або шляхом таємної крадіжки, або купівлі доступу — як конкретний і навмисний метод для встановлення шпигунських точок», — йдеться у звіті.
Однією з цілей хакерів було уникнути виявлення. Шеррод ДеГріппо, директор із стратегії розвідки загроз Microsoft, сказав, що використання загальнодоступних хакерських інструментів дозволяє потенційно приховати своє походження та ускладнити атрибуцію кібератаки.
Ботнет Amadey зазвичай використовується кіберзлочинцями для встановлення криптомайнера. Microsoft впевнена, що хакери, які стоять за Amadey, і ті, хто стоїть за Secret Blizzard, різні, сказав ДеГріппо.
У цій кампанії Secret Blizzard націлилася на комп’ютери, пов’язані з Українською армією та Українською прикордонною службою, сказав ДеГріппо. Microsoft заявила, що ці кібератаки відбуваються «принаймні вдруге з 2022 року, коли Secret Blizzard використовує загальнодостуні хакерські інструменти, щоб полегшити створення свого плацдарму для власних атак в Україні.
Відомо, що Secret Blizzard націлена на міністерства закордонних справ, посольства, урядові установи, міністерства оборони та пов’язані з обороною компанії по всьому світу, зосереджуючись на довгостроковому шпигунстві та зборі розвідданих.
У цьому випадку зразок зловмисного програмного забезпечення Secret Blizzard, який проаналізувала Microsoft, був розроблений для збору інформації про систему жертви — наприклад, ім’я пристрою та яке антивірусне програмне забезпечення встановлено — як перший крок для подальшого розгортання іншого шкідливого програмного забезпечення та інструментів.
За словами дослідників Microsoft, група Secret Blizzard розгорнула це зловмисне програмне забезпечення на пристроях, щоб визначити, чи викликають цілі подальший інтерес. Наприклад, Secret Blizzard націлила пристрої з підключенням до Starlink – супутникового інтернету, який є критично важливим для української армії.
ДеГріппо сказав, що ця хакерська кампанія була проведена Secret Blizzard частково через те, що хакери використовували спеціальні бекдори під назвою Tavdig і KazuarV2, які ніколи не використовувалися іншими групами.
Минулого тижня Microsoft і охоронна фірма Black Lotus Lab опублікували звіти, які показали, як Secret Blizzard залучила інструменти та інфраструктуру іншої національної хакерської групи для своєї шпигунської діяльності з 2022 року. У цьому випадку Secret Blizzard підключила пакистанську хакерську групу до військових і розвідувальних цілей в Афганістані та Індії.
