Хакеры маскируются под Илона Маска и StarLink для атак украинцев

Война в Украине продолжается не только на поле боя. Подразделение Google по анализу угроз (TAG) обнаружило хакерскую группировку под кодовым названием UAC-0098, которая поддерживается российским правительством. Всего было выявлено пять попыток атак с апреля по август 2022 года.

Основными целями хакеров стали ресурсы StarLink в Украине, отели и правительственный сектор.

Первые атаки произошли в конце апреля. По адресам украинских компаний и госорганов рассылали письма с темой «Проект Активні громадяни». Это был эксперимент хакеров, так как они использовали новый метод получения доступа к компьютерам. И уже в мае их атаки стали серьезнее.

19 мая киберпреступники использовали адрес support@starlinkua[.]info для отправки поддельных писем, выдавая себя за представителей Илона Маска и StarLink. Их целью было получить данные для подключения к интернету с помощью спутников StarLink.

23 мая такую же атаку совершили против большого количества украинских организаций, работающих в технологическом, розничном и государственном секторах. Особое внимание группировка UAC-0098 обратила на компании, работающие в гостиничном секторе. Фишинговые электронные письма от имени Национальной киберполиции Украины содержали вредоносную ссылку, в которой просили загрузить обновление для операционной системы. Файл находился по адресу https://cyberpolice.gov.uz[.]ua/article/KB5012599.msi. Домен gov.uz[.]ua, контролировался хакерами и был зарегистрирован всего за день до атаки.

В июне специалисты Google сорвали крупную атаку хакеров, которые разослали более 10 тыс. спам-писем от имени Государственной налоговой службы Украины. К электронным письмам был прикреплен ZIP-файл, содержащий вредоносный файл RTF.

В TAG считают, что действия хакеров являются типичными примерами стирания границ между финансово мотивированными и поддерживаемыми правительством группами в Восточной Европе. Злоумышленники меняют свои цели, чтобы соответствовать региональным геополитическим интересам.

Если до апреля цели хакеров были сосредоточены на атаках на европейские негосударственные организации, весной они уже переключились на целенаправленные атаки на украинские государственные структуры, организации и отдельных лиц.

«Довольно уникально то, что группа демонстрирует большой интерес к взломам предприятий, работающих в индустрии гостеприимства Украины, вплоть до запуска нескольких отдельных кампаний против одних и тех же гостиничных сетей», – пишут исследователи.

Напомним, в июне подразделение Google предупредило о новом сложном шпионском программном обеспечении, вирусе Hermit. Благодаря ему злоумышленники воровали конфиденциальные данные пользователей Android и iOS.