Изследователи в областта на сигурността твърдят, че наскоро са забелязали рускa хакерска групировка, която стои зад разрушителните кибератаки със зловреден софтуер „WhisperGate“, насочена към украински организации с цел кражба на информация.
Екипът Threat Hunter на Symantec приписва тази атака на свързана с Русия хакерска групировка, занимаваща се с киберзаплахи, широко известна като TA471 (или UAC-0056), която е активна от началото на 2021 година. Известно е, че групата подкрепя интересите на руското правителство, и макар да е насочена предимно към Украйна, тя е била активна и срещу държави членки на НАТО в Северна Америка и Европа. TA471 е свързана с използването на WhisperGate – разрушителен зловреден софтуер за изтриване на данни, който е използван в множество кибератаки срещу украински цели през януари миналата година. Зловредният софтуер се маскира като рансъмуер, но прави целевите устройства напълно нефункционални и неспособни да възстановят файловете, дори ако бъде платен исканият откуп.
Според Symantec, хакерите използват невиждан досега зловреден софтуер за кражба на информация, който нарича „Graphiron“ за атакуване на украински организации. Зловредният софтуер е използван за кражба на данни от заразени машини от октомври 2022 година до средата на януари тази година.
Зловредният софтуер за кражба на информация използва имена на файлове, предназначени да се маскират като легитимни файлове на Microsoft Office, и е подобен на други инструменти на TA471, като GraphSteel и GrimPlant, които преди това са били използвани като част от спиър фишинг кампания, насочена специално към украински държавни органи.
„Тази информация може да бъде полезна сама по себе си от гледна точка на разузнаването или да бъде използвана за по-дълбоко проникване в целевата организация или за извършване на разрушителни атаки“, казва пред TechCrunch Дик О’Брайън, главен анализатор на разузнаването в Symantec Threat Hunter Team.
О’Брайън заяви, че макар да се знае малко за произхода или стратегията на тази хакерска групировка, TA471 се е превърнала в един от ключовите играчи в продължаващите кибератаки на Русия срещу Украйна.
Новината за последната шпионска кампания на TA471 идва дни след като украинското правителство алармира за друга руска държавно спонсорирана хакерска група, наречена UAC-0010, която продължава да провежда чести кибератаки срещу украински организации.
„Въпреки че използват предимно повтарящи се набори от техники и процедури, противниците бавно, но упорито развиват тактиките си и преработват използваните варианти на зловреден софтуер, за да останат незабелязани“, заяви Държавният център за киберзащита на Украйна.