Связанные с ГРУ РФ хакеры нацелились на оборонные компании Болгарии и Румынии

12:20 16.05.2025
Росія

Хакеры, связанные с российским ГРУ, нацелились на оборонные компании Болгарии и Румынии в рамках масштабной шпионской кампании, направленной на сбор данных, связанных с войной в Украине.

Об этом сообщили исследователи из компании ESET, обнаружившие операцию под названием RoundPress. За ней стоит хакерская группа Sednit (также известная как Fancy Bear или APT28), которую Минюст США ранее уже связывал с российской военной разведкой. 

Об этом пишет GuildHall со ссылкой на helpnetsecurity.

Главной целью атаки стала кража конфиденциальных данных с почтовых серверов через уязвимости в популярном программном обеспечении для веб-почты, таком как Horde, MDaemon, Roundcube и Zimbra. Sednit рассылала вредоносные письма с внедренными XSS-эксплойтами, которые активировались при открытии письма на уязвимом сервере. В результате на устройстве жертвы запускался JavaScript-код, способный красть логины, пароли, адресные книги и даже обходить двухфакторную аутентификацию.

Среди целей — украинские госструктуры и оборонные предприятия Болгарии и Румынии, включая те, которые производят советское вооружение для поставок Украине. Кроме того, хакеры атаковали правительственные организации в странах ЕС, Африки и Южной Америки.

Для фишинговых атак Sednit использовала заголовки, имитирующие новости, чтобы убедить жертв открыть письмо. В рассылке упоминались фальшивые новости о СБУ, Путине и Трампе. По словам экспертов, такие серверы веб-почты стали излюбленной целью шпионских групп, потому что многие организации не обновляют вовремя свое ПО, а сами уязвимости можно активировать удаленно.

Группа Sednit действует с 2004 года и была причастна к ряду резонансных атак, включая взлом серверов Демократической партии США перед выборами в 2016 году и утечки данных WADA.
 

Теми:

Ще на цю тему