Российские хакеры годами шпионили за структурами НАТО
Российская хакерская группировка в течение нескольких лет шпионила за структурами НАТО и правительственными учреждениями, используя вредоносное программное обеспечение и сложную киберинфраструктуру, говорится в отчете компании по киберразведке PRODAFT, которая подробно изучила деятельность группы Nebulous Mantis — также известной под названиями Cuba, STORM-0978, Tropical Scorpius и UNC2596.
Об этом пишет GuildHall со ссылкой на Industrialcyber.
Исследователи называют группу русскоязычной и утверждают, что она действует с геополитическими мотивами, активно атакуя критическую инфраструктуру, политиков, оборонные структуры и учреждения, связанные с Североатлантическим альянсом.
Вредоносная программа занимается как шпионажем, так и для вымогательством, используя методы уклонения от обнаружения.
Группа активно меняет используемые домены — как правило, ежемесячно — и арендует серверы у LuxHost и AEZA, известных услугами bulletproof hosting, устойчивыми к вмешательству правоохранителей. Анализ показывает, что ключевую роль в операциях играет некий хакер под псевдонимом LARVA-290, который закупает и настраивает серверы вторжений, а также участвует в атаках с использованием программ-вымогателей, в том числе RomCom.
Исследователи подчеркивают, что несмотря на наличие признаков двойного вымогательства, основная цель группы — шпионаж.
По оценке PRODAFT, за месяц Nebulous Mantis может заразить более 46 стратегически важных целей.
Nebulous Mantis действует как профессиональная кибергруппировка с многоэтапным подходом к атакам. Сначала проводится фишинговая рассылка, после чего вредоносный файл открывает доступ к системе. Затем следуют действия по закреплению доступа, эскалации привилегий и эксфильтрации данных. Группа умело сочетает социальную инженерию с техническими уязвимостями, нередко применяя так называемые уязвимости нулевого дня. В их арсенале — модульные вредоносные программы, от простых дропперов до сложных бэкдоров, оснащенные функциями обхода антивирусной защиты.
Группа также располагает обширной сетью C2-серверов и зашифрованных каналов связи, часто меняет точки входа и применяет дисциплину при ведении операций, что указывает на возможную государственную поддержку либо на работу высокопрофессиональной киберпреступной организации.
С 2022 года группа полностью перешла от загрузчика Hancitor к RomCom. Почти все их атаки начинаются с фишинговых писем, в которых злоумышленники имитируют интерфейсы популярных приложений или отправляют вредоносные документы с приглашениями на важные мероприятия. Когда жертва переходит по ссылке, она попадает на поддельный сайт, похожий на OneDrive, с которого и начинается загрузка вредоносного файла.
Ранее британское Национальное агентство по борьбе с преступностью (NCA) обвинило российскую хакерскую группировку Evil Corp в проведении кибератак на страны НАТО по приказу российских спецслужб. Эта преступная организация действовала под защитой ФСБ, благодаря связям с высокопоставленными чиновниками.
Ще на цю тему
- 09.07.2025 РФ использует учения «Baltops 2025» для информационных атак на НАТО
- 24.06.2025 Фон дер Ляєн: РФ може перевірити оборонні зобов’язання НАТО протягом п’яти років
- 12.06.2025 НАТО розширює супутникове спостереження для контролю за діями РФ
- 21.05.2025 НАТО відкриє нову військову базу в Норвегії для охорони Арктики та Балтійського моря
- 19.05.2025 Росія готується до війни з НАТО? На кордоні стало більше військової інфраструктури
- 15.05.2025 ЗМІ: США запропонували відновити роботу Ради Росія-НАТО
- 29.04.2025 Медведєв заявив, що найновіші члени НАТО автоматично стали ціллю для РФ це Фінляндія і Швеція
- 20.04.2025 Винищувачі Британії двічі за тиждень перехоплювали російські літаки у повітряному просторі НАТО
- 01.04.2025 НАТО визначило Росію довгостроковою військовою загрозою: що це значить для Європи та США
- 07.03.2025 РФ сможет срывать операции НАТО через три года — разведка Литвы
- 25.01.2025 Фінляндія відправляє ракетний катер для патрулювання Балтійського моря
- 23.01.2025 Генсек НАТО підтримав кампанію тиску Трампа на Росію