Хакеры из Казахстана атакуют правительственные сайты в Центральной Азии

Согласно новому исследованию Cisco, хакеры, предположительно базирующиеся в Казахстане, ведут широкомасштабную кампанию шпионажа в пользу других членов СНГ.

Группа Talos компании Cisco в течение нескольких месяцев отслеживала деятельность YoroTrooper – хакерской группы, занимающейся шпионажем, которая впервые появилась в июне 2022 года. По словам исследователей, цели группы, использование казахстанской валюты и свободное владение казахским и русским языками позволили им предположить, что хакеры базируются в Казахстане.

YoroTrooper, судя по всему, выполняла оборонительные действия по защите казахстанской государственной службы электронной почты и атаковала только Агентство по борьбе с коррупцией при правительстве Казахстана.

Ашир Малхотра, исследователь угроз Cisco Talos, сообщил Recorded Future News, что группа активно пыталась замаскировать свои действия, чтобы создать впечатление, что атаки исходят из Азербайджана, в попытке "создать ложные сигналы и ввести в заблуждение атрибуцию".

"С точки зрения методов работы их тактика и инструменты не слишком сложны, однако за последние два года YoroTrooper все же добился значительного успеха, компрометируя цели в странах СНГ благодаря агрессивным попыткам атаковать своих жертв. Кроме того, несмотря на то, что в начале этого года Cisco Talos раскрыла подробную информацию о деятельности YoroTrooper, этот угрожающий агент не проявляет никаких признаков замедления", – заявил Малхотра.

Cisco Talos отследила атаки на учреждения и официальных лиц в Азербайджане, Таджикистане, Кыргызстане и Узбекистане, где использовались VPN-сервисы для создания видимости того, что взломы осуществляются из Азербайджана.

В период с мая 2023 года по август 2023 года хакеры взломали множество государственных сайтов и учетных записей, принадлежащих правительственным чиновникам.

Большинство атак начинаются с рассылки фишинговых писем, в которые внедряется специально разработанное вредоносное ПО, позволяющее похищать данные и учетные данные.

Исследователи обнаружили, что в попытках отладить свои инструменты хакеры использовали русский язык, а также посещали многочисленные сайты, написанные на казахском языке. В июне хакеры начали использовать в своем коде узбекский язык, который также распространен в Казахстане.

Хакеры используют криптовалюту для оплаты операционной инфраструктуры, например доменов и серверов, а также проверяют "курсы конвертации казахстанского тенге (KZT), официальной валюты Казахстана, и биткойна (BTC) в Google".

Группа также проводит сканирование безопасности mail[.]kz, государственной службы электронной почты Казахстана, и следит за потенциальными уязвимостями платформы. Несмотря на то, что большая часть активности направляется через Азербайджан, Cisco Talos обнаружила доказательства того, что хакеры не владеют азербайджанским языком – они регулярно посещают сайты-переводчики и проверяют переводы с азербайджанского на русский.

Cisco Talos отметила, что с момента публикации отчета о YoroTrooper в марте 2023 года, в котором подробно описывались атаки группы на агентство здравоохранения Европейского союза, Всемирную организацию интеллектуальной собственности и ряд стран СНГ, она значительно расширила свой инструментарий и тактику.

Группа использует новые, изготовленные на заказ имплантаты и отказалась от других штаммов вредоносного ПО, которые использовала ранее.

"Нацеленность YoroTrooper на государственные структуры в этих странах может свидетельствовать о том, что операторы руководствуются государственными интересами Казахстана или работают под руководством казахстанского правительства", – считают исследователи.

Для поиска уязвимостей в инфраструктуре своих объектов группа использует сканеры уязвимостей и открытые данные поисковых систем, таких как Shodan. С помощью этих инструментов летом этого года были взломаны три государственных сайта Таджикистана и Кыргызстана, на которых были размещены вредоносные программы, причем некоторые из них продолжают размещаться по состоянию на сентябрь 2023 года.

Среди скомпрометированных сайтов были сайты Торговой палаты Таджикистана, Агентства по контролю за наркотиками и государственного угольного предприятия Кыргызстана. Кроме того, объектом атаки стал сотрудник Министерства транспорта и дорожного хозяйства Кыргызстана, а также другие государственные служащие Министерства энергетики Узбекистана.

В Cisco Talos также отметили, что группа скорректировала свою тактику в свете мартовского отчета о хакерских кампаниях, которые позволяли похищать учетные данные, истории браузеров, системную информацию и скриншоты.

По словам Малхотры, хотя взлом стран СНГ не является обычным делом, исследователи в области кибербезопасности отмечают в последнее время рост числа кибератак в этом регионе мира.