Российские хакеры годами шпионили за структурами НАТО

Российская хакерская группировка в течение нескольких лет шпионила за структурами НАТО и правительственными учреждениями, используя вредоносное программное обеспечение и сложную киберинфраструктуру, говорится в отчете компании по киберразведке PRODAFT, которая подробно изучила деятельность группы Nebulous Mantis — также известной под названиями Cuba, STORM-0978, Tropical Scorpius и UNC2596.

Об этом пишет GuildHall со ссылкой на Industrialcyber.

Исследователи называют группу русскоязычной и утверждают, что она действует с геополитическими мотивами, активно атакуя критическую инфраструктуру, политиков, оборонные структуры и учреждения, связанные с Североатлантическим альянсом.

Вредоносная программа занимается как шпионажем, так и для вымогательством, используя методы уклонения от обнаружения.

Группа активно меняет используемые домены — как правило, ежемесячно — и арендует серверы у LuxHost и AEZA, известных услугами bulletproof hosting, устойчивыми к вмешательству правоохранителей. Анализ показывает, что ключевую роль в операциях играет некий хакер под псевдонимом LARVA-290, который закупает и настраивает серверы вторжений, а также участвует в атаках с использованием программ-вымогателей, в том числе RomCom.

Исследователи подчеркивают, что несмотря на наличие признаков двойного вымогательства, основная цель группы — шпионаж. 

По оценке PRODAFT, за месяц Nebulous Mantis может заразить более 46 стратегически важных целей. 

Nebulous Mantis действует как профессиональная кибергруппировка с многоэтапным подходом к атакам. Сначала проводится фишинговая рассылка, после чего вредоносный файл открывает доступ к системе. Затем следуют действия по закреплению доступа, эскалации привилегий и эксфильтрации данных. Группа умело сочетает социальную инженерию с техническими уязвимостями, нередко применяя так называемые уязвимости нулевого дня. В их арсенале — модульные вредоносные программы, от простых дропперов до сложных бэкдоров, оснащенные функциями обхода антивирусной защиты.

Группа также располагает обширной сетью C2-серверов и зашифрованных каналов связи, часто меняет точки входа и применяет дисциплину при ведении операций, что указывает на возможную государственную поддержку либо на работу высокопрофессиональной киберпреступной организации.

С 2022 года группа полностью перешла от загрузчика Hancitor к RomCom. Почти все их атаки начинаются с фишинговых писем, в которых злоумышленники имитируют интерфейсы популярных приложений или отправляют вредоносные документы с приглашениями на важные мероприятия. Когда жертва переходит по ссылке, она попадает на поддельный сайт, похожий на OneDrive, с которого и начинается загрузка вредоносного файла.

Ранее британское Национальное агентство по борьбе с преступностью (NCA) обвинило российскую хакерскую группировку Evil Corp в проведении кибератак на страны НАТО по приказу российских спецслужб. Эта преступная организация действовала под защитой ФСБ, благодаря связям с высокопоставленными чиновниками.