Россия нацелилась на западные организации, которые помогают Украине, и взламывает их компьютерные системы
Под ударом оказались организации в 13 странах, в частности во Франции, Германии и США.
Западные логистические и технологические компании, которые участвуют в транспортировке, координации и доставке иностранной помощи Украине, становятся мишенью для российского государственного киберподразделения, говорится в опубликованной 21 мая в сотрудничестве с несколькими международными агентствами консультативной записке Агентства кибербезопасности и безопасности инфраструктуры США (CISA).
Кампанию, которая началась в 2022 году, возглавляет военное подразделение Главного разведывательного управления (ГРУ) Генерального штаба России под названием «Подразделение 26165», известное в сообществе кибербезопасности под разными именами, такими как APT28, Fancy Bear, Forest Blizzard и BlueDelta.
Целью этой кампании стали правительственные организации и коммерческие структуры. Среди пострадавших секторов — оборонная промышленность, ИТ-услуги, управление воздушным движением, морские предприятия и транспортные узлы, такие как аэропорты и морские порты.
Субъекты, на которые ориентировалось подразделение 26165, расположены в 13 странах: Украине, США, Болгарии, Чехии, Франции, Германии, Греции, Италии, Молдове, Нидерландах, Польше, Румынии и Словакии.
Подразделение 26165 получило доступ к системам нескольких организаций. После проникновения в системы одной из них злоумышленник пытался получить доступ к учетным записям, содержащим конфиденциальную информацию о перевозках, такую как декларации и расписание движения поездов, говорится в сообщении.
Учетные записи содержали подробную информацию о грузах с гуманитарной помощью для Украины, включая отправителя, получателя, содержимое груза, маршрут, пункт назначения и регистрационные номера контейнеров.
Подразделение 26165 также, вероятно, получило доступ к частным камерам наблюдения в ключевых местах, включая военные объекты, пункты пересечения границы и железнодорожные станции, говорится в отчете, добавляя, что злоумышленники взломали порталы муниципальных служб, чтобы получить доступ к камерам дорожного движения.
Более 80% камер были расположены в Украине, остальные — в Румынии, Польше, Венгрии, Словакии и других странах.
«Руководители и сетевые защитники логистических предприятий и технологических компаний должны признать высокую угрозу, которую представляет нацеленность на в/ч 26165», — говорится в рекомендациях, где содержится призыв к ним усилить наблюдение и подготовить сетевую защиту, ожидая, что они станут мишенью.
Совместную рекомендацию опубликовало 21 международное агентство из нескольких стран, включая США, Францию, Великобританию и Германию.
В заявлении от 21 мая Пол Чичестер, главный операционный директор Национального центра кибербезопасности Великобритании, участвовавший в подготовке консультативного заключения, сказал, что «злонамеренная кампания российской военной разведки представляет серьезный риск для организаций, против которых она направлена».
«Мы настоятельно рекомендуем организациям ознакомиться с угрозами и советами по их преодолению, которые содержатся в инструкциях, чтобы помочь защитить свои сети».
В прошлом месяце французские власти обвинили российское ГРУ в причастности к серии хакерских операций.
ГРУ «уже несколько лет применяет против Франции кибернаступательную операцию под названием APT28. Начиная с 2021 года, она стала мишенью для около десяти французских организаций», — написал Жан-Ноэль Барро, министр иностранных дел Франции, в социальной сети X 30 апреля.
Эта процедура атаки была использована для нацеливания или компрометации десятка французских организаций с 2021 года, говорится в заявлении Министерства Европы и иностранных дел Франции.