Що відомо

Масштабну кампанію виявила урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA. Вона першою повідомила про підвищену активність угруповання, яке відстежується під умовним номером UAC-0184.

Дивіться також СБУ викрила хакерів, відповідальних за атаку на "Київстар", і готує матеріали для Гааги

Зазначається, що зловмисники використовують популярні месенджери, соціальні мережі та інші платформи для знайомства та спілкування з метою розповсюдження шкідливих програм.

Їхні методи включають:

  • Запити на знайомство й додавання в друзі.
  • Супровідні повідомлення-приманки: наприклад, про відкриття виконавчого провадження/кримінальної справи, відео бойових дій та інше.
  • Файли (архіви) з проханням допомогти у їх відкритті або обробці.

Шкідливе ПЗ, яке встановлюється в результаті на комп'ютер, вивантажує дані на сервери хакерів, зокрема повідомлення й контакти з месенджера Signal, який є основним місцем спілкування у військових.

Зловмисники продовжуватимуть вдосконалювати способи доставки шкідливих програм через месенджери. Будь-яка необачна онлайн-активність військовослужбовця (наприклад, публікація фото у військовій формі) полегшує зловмисникам визначення пріоритетних цілей для атак,
– нагадують у Держспецзв'язку.

Хоча ми й не знаємо конкретну назву хакерського угруповання чи імен кіберзлочинців, можна впевнено припускати, що за цією операцією стоїть Росія. Одне з найнебезпечніших її хакерських утворень називається Sandworm. Воно працює в складі російської розвідки й виконує одні з найскладніших завдань для окупантів. Зокрема, нещодавно було остаточно підтверджено, що вони стояли за атакою на "Київстар" 12 грудня.