Фахівці з кібербезпеки ESET виявили нову хвилю шпигунських атак, що здійснюються пов’язаною з росією хакерською групою Sednit (відомою також як Fancy Bear або APT28). Основною ціллю зловмисників стали українські державні установи, оборонні підприємства в Болгарії та Румунії, а також урядові структури в Африці та Південній Америці.
Атаки через уразливості у вебпошті
Зловмисники активно використовують XSS-експлойти, які надсилають у вигляді електронних листів. У разі відкриття такого листа на вразливому вебпорталі пошти, в браузері запускається шкідливий JavaScript-код, що дає змогу хакерам отримати доступ до облікових записів, контактів та вмісту скриньки.
Основні цілі атаки
Уразливості, які експлуатуються, охоплюють поштові системи Horde, MDaemon, Zimbra та Roundcube. Серед них були як уже відомі та виправлені, так і нульові дні — наприклад, CVE-2024-11182 у MDaemon.
Атаки здійснювалися через фішингові листи з привабливими заголовками, що імітують новини українських та європейських ЗМІ. Наприклад: «СБУ заарештувала банкіра» або «Путін вимагає від Трампа визнання умов».
Шкідливі компоненти Sednit
Хакери застосовують шкідливі скрипти, зокрема:
- SpyPress.HORDE
- SpyPress.MDAEMON
- SpyPress.ROUNDCUBE
- SpyPress.ZIMBRA
Ці компоненти дозволяють викрадати листування, адресні книги, облікові дані, а також обійти двофакторну автентифікацію.
Чому це небезпечно
Згідно з експертами, Sednit діє з 2004 року та пов’язана з ГРУ РФ. Вона фігурує у низці масштабних інцидентів, зокрема зламі серверів DNC у США в 2016 році, атаці на WADA та зломі французької TV5Monde.
Особливу небезпеку становить той факт, що атаки Sednit не потребують дій від адміністратора сервера — лише один необережний клік користувача на лист може скомпрометувати систему.
Як захиститися від атак
Експерти радять:
- не відкривати підозрілі листи;
- забезпечити регулярне оновлення поштових серверів і програмного забезпечення;
- використовувати комплексні рішення для кіберзахисту з виявленням загроз та XDR-інструментами, наприклад ESET PROTECT Elite;
- застосовувати багатофакторну автентифікацію на критичних облікових записах.
В умовах кібервійни й активного шпигунства саме стійкість до таких атак стає критичним фактором безпеки як для державних структур, так і для приватного сектору.
