Ресейлік хакерлердің Кремльдің Орталық Азиядағы экономикалық және саяси ақпараттарды жинау әрекеті аясында Қазақстанға қарсы кибер тыңшылық науқанына қатысы бар. Бұл туралы The Hacker News басылымы жазды, деп хабарлайды “Адырна” ұлттық порталы.
«Ресеймен байланысы бар киберқылмыскерлер Қазақстанға қарсы жалғасып жатқан кибершабуылдар науқанына қатысқан деп саналады, ол Кремльдің Орталық Азиядағы экономикалық және саяси барлау ақпаратын жинауға бағытталған күш-жігері аясында», - делінген хабарламада.
Шабуылдар Ресей Бас штабының Бас басқармасына (ГРУ) енетін APT28 хакерлер ұйымымен байланысы бар делінген UAC-0063 код атауы бар топқа қатысты. Топ Fancy Bear, Sofacy және басқа атаулармен де белгілі.
«UAC-0063 алғаш рет 2023 жылдың басында Украинадағы Компьютерлік төтенше жағдайларға жауап беру тобы (CERT-UA) тарапынан құжатталды, онда бұл топтың мемлекеттік органдарға жасаған шабуылдары мен HATVIBE, CHERRYSPY және STILLARCH (немесе DownEx) деп аталатын зиянды бағдарламаларды қолдануы сипатталды. Бұл зиянды бағдарламалар тек осы топқа тән», - деп хабарлайды сайт.
Француздық Sekoia компаниясының мәліметтері бойынша, UAC-0063 тобының әрекеті мемлекеттік басқару, дипломатия, ҮЕҰ, академия, энергетика және қорғаныс сияқты салаларда барлау ақпаратын жинауға бағытталған. Оның географиялық қызығушылығы Украина, Орталық Азия және Шығыс Еуропаны қамтиды.
Хабарламада жақында болған шабуылдарда Қазақстанның сыртқы істер министрлігі шығарған делінген Microsoft Office құжаттарын фишингтік хаттар ретінде қолдану көрсетілген. Мұндай құжатты ашқан кезде құрбан «Double-Tap» деп аталатын жұқтыру тізбегін бастайды, ол нәтижесінде HATVIBE зиянды бағдарламасын іске қосады. Құжаттағы зиянды макрос жасырын қалтада жаңа файл жасайды, ол зиянды сценарийді іске қосады. Сондай-ақ, ол жүктеуші қызметін атқарады және әрі қарай модульдерді таратуға мүмкіндік береді. Антивирустық бағдарламаларды айналып өту үшін күрделі әдістер қолданылады, оның ішінде макростардың жасырындықтары мен CHERRYSPY Python-тың артқы есігін қолдану бар.
«Double-Tap жұқтыру тізбегін ерекше ететін нәрсе - ол қауіпсіздік шешімдерін айналып өту үшін көптеген әдістерді қолдану. Мысалы, макрос кодын settings.xml файлына сақтап, schtasks.exe іске қосу арқылы екінші құжат үшін жоспарланған тапсырма жасау немесе бірінші құжат үшін уақыттың орындалу уақытында өзгерістер болмағанын тексеретін антиэмуляциялық әдіс қолдану, әйтпесе макрос тоқтатылады», - деп атап өтті зерттеушілер.
Sekoia бұл шабуылдардың APT28 тобының бұрын жүргізген операцияларына ұқсас екенін және орташа ықтималдықпен UAC-0063 осы топтың бөлігі болуы мүмкін деп мәлімдеді. Кампанияның мақсаты – Қазақстанның дипломатиялық қарым-қатынастары мен көрші елдер туралы стратегиялық ақпарат жинау.
Осы оқиғалар аясында бірнеше Орталық Азия елдері, соның ішінде Қазақстан, ресейлік компаниялардан SORM деректерін ұстау технологиясын сатып алғаны хабарланды. Бұл жүйе Ресейдің арнайы қызметтеріне интернет-трафик пен коммуникацияларды бақылауға мүмкіндік береді.
Белгіленгендей, Беларусь, Қазақстан, Қырғызстан және Өзбекстан, сондай-ақ Латын Америкасы Куба мен Никарагуа елдері азаматтардың телефон әңгімелерін тыңдау технологиясын сатып алған.
«Бұл жүйелер қауіпсіздік мақсатында заңды қолданылуы мүмкін болғанымен, үкімет бақылаудың тиімді немесе тәуелсіз механизмдері жоқ кезде саяси оппозиция, журналистер мен белсенділерге қарсы қудалау тәжірибесіне ие», - деп мәлімдеді Recorded Future компаниясының Insikt Group зерттеу бөлімшесі.
Сарапшылар ресейлік бақылау жүйелерінің экспортын Ресейдің «жақын шет елдеріндегі» ықпалын күшейтуіне мүмкіндік беретінін ескертуде.
