Francja ujawnia cyberataki hakerów GRU na strategiczne obiekty.

Francja oskarżyła hakerów GRU z grupy APT28 (Fancy Bear) o ataki na swoją infrastrukturę krytyczną.

Zgodnie z raportem CERT-FR z okresu od 2021 do 2024 roku, zaatakowane zostały następujące obiekty:

• ministerstwa, lokalne organy władzy i instytucje państwowe;
• organizacje przemysłu obronnego (DTIB);
• przemysł lotniczy i kosmiczny;
• instytucje badawcze i ośrodki analityczne;
• organizacje sektora gospodarczego i finansowego.

Cele ataków w 2024 roku

W 2024 roku głównymi celami ataków stały się instytucje rządowe, dyplomatyczne, badawcze oraz analityczne, w tym francuskie struktury państwowe.

Napastnicy z grupy APT28 przeprowadzili najpierw kampanie phishingowe, wykorzystując luki, w tym 'zero-day', a także ataki na pocztę elektroniczną poprzez wyłudzanie haseł.

Przykłady ataków

Ataki na serwery pocztowe Roundcube przez phishing.

Napastnicy z APT28 wysyłali phishingowe e-maile do użytkowników korzystających z serwera pocztowego Roundcube. E-maile zawierały linki lub złośliwy kod, który wykorzystał luki w serwerze. Celem ataku było uzyskanie dostępu do zawartości skrzynek pocztowych, w tym wiadomości, kontaktów i danych poufnych, a także znalezienie nowych celów do dalszych ataków.

Kampanie z 2023 roku przez darmowe usługi internetowe.

APT28 wysyłało phishingowe e-maile z linkami do domen darmowych usług hostingowych InfinityFree. Użytkownicy pobierali archiwum ZIP, które zawierało złośliwe oprogramowanie HeadLace. Oprogramowanie to zbierało dane logowania, takie jak login i hasła, informacje o systemie oraz instalowało harmonogram zadań w celu stałego dostępu.

Kampania z użyciem OceanMap Stealer.

Hakerzy używali zaawansowanej wersji OceanMap Stealer - złośliwego oprogramowania do kradzieży danych. To oprogramowanie wykorzystywało protokół IMAP do wyciągania zapisanych danych logowania z przeglądarek i wysyłania tych danych przestępcom przez zaszyfrowane kanały.

Phishingowe ataki na użytkowników UKR.NET, Yahoo, ZimbraMail i Outlook Web Access.

Użytkownicy otrzymywali phishingowe e-maile z linkami do fałszywych stron logowania do powyższych usług w celu uzyskania ich loginów i haseł.

To badanie CERT-FR potwierdza oskarżenia Francji dotyczące ataków hakerskich ze strony GRU oraz grupy APT28. Ataki na krytyczną infrastrukturę Francji miały na celu uzyskanie dostępu do danych poufnych oraz wzbogacenie bazy danych o nowe cele dla przyszłych ataków. Podkreśla to znaczenie zapewnienia cyberbezpieczeństwa i ochrony informacji w kraju.