Франция раскрыла кибератаки хакеров ГРУ на стратегические объекты.

Франция обвинила хакеров ГРУ из группы APT28 (Fancy Bear) в нападениях на свою критическую инфраструктуру.

Согласно отчету CERT-FR за период с 2021 по 2024 год, были атакованы такие объекты:

• министерства, местные органы власти и государственные учреждения;
• организации оборонно-промышленного комплекса (ОПК);
• аэрокосмические предприятия;
• исследовательские учреждения и аналитические центры;
• организации экономического и финансового секторов.

Цели атак в 2024 году

В 2024 году основными объектами атак стали правительственные, дипломатические, исследовательские учреждения и аналитические центры, включая французские государственные структуры.

Нападающие из группы APT28 сначала проводили фишинговые кампании, используя уязвимости, включая «нулевые дни», а также атаки на электронную почту с помощью перебора паролей.

Примеры атак

Атаки на серверы почты Roundcube через фишинг.

Нападающие из APT28 рассылали фишинговые письма пользователям, которые работают с почтовым сервером Roundcube. Письма содержали ссылки или вредоносный код, который эксплуатировал уязвимости сервера. Целью атаки было получить доступ к содержимому почтовых ящиков, включая письма, контакты и конфиденциальные данные, а также найти новые цели для дальнейших атак.

Кампании 2023 года через бесплатные веб-сервисы.

APT28 отправляли фишинговые письма со ссылками на домены бесплатных хостинговых сервисов InfinityFree. Пользователи загружали ZIP-архив, который содержал вредоносную программу HeadLace. Эта программа собирала учетные данные, такие как логины и пароли, информацию о системе и устанавливала планировщик задач для постоянного доступа.

Кампания с использованием OceanMap Stealer.

Хакеры использовали улучшенную версию OceanMap Stealer - вредоносного ПО для кражи данных. Это ПО использовало IMAP-протокол для извлечения сохраненных учетных данных из браузеров и отправляло эти данные злоумышленникам через зашифрованные каналы.

Фишинговые атаки на пользователей UKR.NET, Yahoo, ZimbraMail и Outlook Web Access.

Пользователи получали фишинговые письма со ссылками на фальшивые страницы входа в вышеупомянутые сервисы с целью получения их логинов и паролей.

Это исследование CERT-FR подтверждает обвинения Франции в отношении хакерских атак со стороны ГРУ и группы APT28. Нападения на критическую инфраструктуру Франции имели целью получение доступа к конфиденциальным данным и обогащение базы данных новыми целями для будущих атак. Это подчеркивает важность обеспечения кибербезопасности и защиты информации в стране.