Хакерське угрупування, пов’язане з Росією, проводить кібершпигунську кампанію, спрямовану на організації у Центральній Азії, Східній Азії та Європі.
За даними Insikt Group з Recorded Future, ця активність, названа TAG-110, перетинається з діяльністю групи UAC-0063, яку відстежує CERT-UA, і має зв’язки з відомою хакерською групою APT28. Угрупування діє щонайменше з 2021 року.
Цілі та методи атак
TAG-110 використовує кастомні шкідливі програми HATVIBE і CHERRYSPY, спрямовані переважно на державні установи, правозахисні організації та освітні заклади.
- HATVIBE виконує роль завантажувача для розгортання CHERRYSPY, бекдора на Python, що використовується для шпигунства і викрадення даних.
- Основні методи доступу: використання вразливостей у веб-додатках (наприклад, Rejetto HTTP File Server) та фішингові електронні листи.
Географія атак
За останній рік було виявлено 62 унікальні жертви у 11 країнах, зокрема:
- Центральна Азія: Таджикистан, Киргизстан, Казахстан, Туркменістан, Узбекистан — основна зона діяльності.
- Інші країни: Україна, Вірменія, Китай, Угорщина, Індія, Греція.
Кампанія TAG-110, ймовірно, спрямована на збір розвідданих для підтримки геополітичних цілей Росії в регіоні, особливо у пострадянських країнах.
Ширший контекст
Експерти Recorded Future зазначають, що ці дії вписуються у стратегію гібридної війни Росії, яка включає:
- Саботаж критичної інфраструктури Європи: зокрема, в Естонії, Фінляндії, Латвії, Литві, Норвегії та Польщі. Мета — дестабілізація союзників НАТО і перешкоджання їхній підтримці України.
- Розвідка та впливові операції: збір інформації для політичних і військових цілей без прямого військового конфлікту з НАТО, як передбачено у доктрині Герасимова.
Висновок
З огляду на напружені відносини між Росією та Заходом, ймовірно, Росія посилить свої кібероперації та саботаж, намагаючись ослабити політичні союзи НАТО та дестабілізувати пострадянський регіон. Шкідливі програми HATVIBE і CHERRYSPY є лише частиною цієї багатогранної гібридної стратегії.
