Хакерская группировка Fancy Bear в конце 2017 года продолжила совершать опасные атаки

У данной кибершпионской группировки есть несколько других названий, под которыми она тоже может совершать свою незаконную деятельность. Некоторые пользователи могут знать ее под названием Fancy Bear, другие — APT28. Это все одни и те же хакеры, просто под разными названиями их деятельность сложнее отследить. Но эксперты уже давно выяснили, под какими названиями они работают.

Весь прошлый год хакеры из этой группировки проводили масштабные атаки на различные организации по всему миру. Подробная информация о них содержится в очередном отчете компании Trend Micro, занимающейся вопросами информационной безопасности.

Согласно проведенному специалистами исследованию удалось установить, что хакеры не используют какие-то инновационные способы для улучшения своих атак в техническом плане, но зато они очень хорошо их подготавливают. В связи с этим часто возникают сложности в защите от них. Как отмечают эксперты, группировка Fancy Bear очень умело пользуется самыми различными инструментами, в том числе и методами социальной инженерии для распространения своего вредоносного программного обеспечения, поэтому у нее попросту не возникает нужды использовать новые инновации. Но в некоторых случаях им все же находят применение. Например, если дело касается использования критических уязвимостей в программном обеспечении, то Fancy Bear использует их даже после выхода обновлений и особенно активно в первые дни после того, как о них стало известно. Так как за это время еще не все пользователи успевают их установить, шанс на совершение удачной кибератаки увеличивается.

Довольно часто члены группировки совершают именно фишинговые атаки. Например, в конце лета и начале осени эксперты зафиксировали несколько крупных атак, для проведения которых использовался обычный и целенаправленный фишинг. При проведении этих атак хакеры использовали те же самые методы, которым не изменяют уже несколько лет. Самым часто используемым методом стала подмена содержимого неактивных вкладок браузера. Такой способ применялся для совершения атак на пользователей Yahoo!, которые были зафиксированы в конце лета и начале августа прошлого года. Тогда людям рассылались зараженные письма, содержащие в себе политически направленный контент.

В других атаках людям тоже рассылались зараженные письма, но совершенно иного содержания. Например, во время одной из атак пользователи получали письма, замаскированные под официальные сообщения сервиса Microsoft Exchange. В них сообщалось о том, что у человека истек срок действия пароля и его нужно заменить. В других письмах содержалось уведомление якобы от OneDrive, в котором говорилось о том, что в облачном сервисе появился новый файл. Конечно же, если человек не вносил никаких изменений, то ему станет интересно, кто добавил в его облачное хранилище новый документ и что это вообще за документ. Поэтому он перейдет предложенной ссылке или же откроет имеющееся в письме вложение. Такой метод уже использовался однажды организацией Fancy Bear для проведения атаки на одну из неправительственных организаций, функционирующей в Нидерландах.

Во второй половине прошлого года хакерская группировка сконцентрировала свое внимание на федерациях по зимним олимпийским видам спорта, атаковав несколько международных и европейских федераций.

Еще одна крупная атака была организована во время президентской предвыборной кампании в Иране. Сначала хакеры создали специальный сайт, посвященный выборам, а потом стали рассылать пользователям этого сайта фишинговые письма. Аналогичные атаки уже совершались на политические организации, функционирующие во Франции, Германии, Черногории, Украине, США и Турции.