Експерти компанії з інформаційної безпеки ESET виявили зростання активності російських кібершпигунів, спрямованої на українські державні установи або оборонні компанії в Болгарії та Румунії з метою викрадення конфіденційних даних із певних облікових записів електронної пошти.
В компанії зазначають, що деякі з цих оборонних підприємств виробляють зброю радянських часів для відправлення в Україну. Серед інших цілей – уряди країн Африки, ЄС та Південної Америки. За цим, найімовірніше, стоїть пов’язана з росією група кібершпигунів Sednit (також відома як Fancy Bear).
«Минулого року ми зафіксували, як різні уразливості XSS використовувалися під час атак на додаткове програмне забезпечення для вебпошти: Horde, MDaemon та Zimbra. Sednit також почала використовувати новішу уразливість CVE-2023-43770 у Roundcube. Уразливість CVE-2024-11182 у MDaemon, яка наразі виправлена, була «0-денною» уразливістю, найімовірніше, виявлена Sednit, тоді як уразливості для Horde, Roundcube та Zimbra вже були відомі та виправлені», – розповів дослідник ESET Метьє Фау.
Група Sednit надсилає експлойти XSS електронною поштою, які призводять до виконання шкідливого коду JavaScript у контексті вебсторінки клієнта вебпошти, що працює у вікні браузера. Таким чином, лише дані, доступні з облікового запису жертви, можуть бути прочитані та перехоплені.
Щоб експлойт спрацював, жертва повинна відкрити повідомлення електронної пошти на уразливому порталі вебпошти. Це означає, що електронний лист має обійти будь-яку фільтрацію спаму, а тема має бути достатньо переконливою, щоб спонукати жертву прочитати електронне повідомлення. Саме тому зловмисники використовують у шкідливих листах назви відомих ЗМІ, такі як українське інформаційне видання Kyiv Post або болгарський новинний портал News.bg. Серед заголовків, які використовували шпигуни: «СБУ заарештувала банкіра, який працював на ворожу військову розвідку в Харкові» або «Путін домагається від Трампа прийняття російських умов у двосторонніх відносинах».
Зловмисники запускають компоненти JavaScript SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE та SpyPress.ZIMBRA. Вони здатні викрасти облікові дані, перехоплювати адресну книгу, контакти та історії входів, а також повідомлення електронної пошти. SpyPress.MDAEMON може налаштувати обхід двофакторної автентифікації, зокрема перехоплювати секретний код двофакторної автентифікації та створювати пароль програми, який дозволяє зловмисникам отримати доступ до поштової скриньки з програми.
«Протягом останніх двох років сервери вебпошти, такі як Roundcube та Zimbra, були основною мішенню для кількох шпигунських груп, таких як Sednit, GreenCube та Winter Vivern. Оскільки багато організацій вчасно не оновлюють свої сервери вебпошти, а уразливості активуются віддалено шляхом відправки повідомлень електронної пошти, зловмисникам дуже легко націлюватися на такі сервери для викрадення електронних листів», – пояснює дослідник ESET.
Група Sednit, також відома як APT28, Fancy Bear, Forest Blizzard або Sofacy, діє принаймні з 2004 року. У Міністерстві юстиції США назвали групу однією із відповідальних за злам Національного комітету Демократичної партії (DNC) безпосередньо перед виборами 2016 року у США та пов’язали групу з ГРУ. Також припускають, що група відповідальна за злам глобальної телевізійної мережі TV5Monde, витік електронної пошти Всесвітнього антидопінгового агентства (WADA) та багато інших інцидентів.
