Хакеры из Казахстана атакуют правительственные сайты в Центральной Азии
Согласно новому исследованию Cisco, хакеры, предположительно базирующиеся в Казахстане, ведут широкомасштабную кампанию шпионажа в пользу других членов СНГ.
Группа Talos компании Cisco в течение нескольких месяцев отслеживала деятельность YoroTrooper – хакерской группы, занимающейся шпионажем, которая впервые появилась в июне 2022 года. По словам исследователей, цели группы, использование казахстанской валюты и свободное владение казахским и русским языками позволили им предположить, что хакеры базируются в Казахстане.
YoroTrooper, судя по всему, выполняла оборонительные действия по защите казахстанской государственной службы электронной почты и атаковала только Агентство по борьбе с коррупцией при правительстве Казахстана.
Ашир Малхотра, исследователь угроз Cisco Talos, сообщил Recorded Future News, что группа активно пыталась замаскировать свои действия, чтобы создать впечатление, что атаки исходят из Азербайджана, в попытке "создать ложные сигналы и ввести в заблуждение атрибуцию".
"С точки зрения методов работы их тактика и инструменты не слишком сложны, однако за последние два года YoroTrooper все же добился значительного успеха, компрометируя цели в странах СНГ благодаря агрессивным попыткам атаковать своих жертв. Кроме того, несмотря на то, что в начале этого года Cisco Talos раскрыла подробную информацию о деятельности YoroTrooper, этот угрожающий агент не проявляет никаких признаков замедления", – заявил Малхотра.
Cisco Talos отследила атаки на учреждения и официальных лиц в Азербайджане, Таджикистане, Кыргызстане и Узбекистане, где использовались VPN-сервисы для создания видимости того, что взломы осуществляются из Азербайджана.
В период с мая 2023 года по август 2023 года хакеры взломали множество государственных сайтов и учетных записей, принадлежащих правительственным чиновникам.
Большинство атак начинаются с рассылки фишинговых писем, в которые внедряется специально разработанное вредоносное ПО, позволяющее похищать данные и учетные данные.
Исследователи обнаружили, что в попытках отладить свои инструменты хакеры использовали русский язык, а также посещали многочисленные сайты, написанные на казахском языке. В июне хакеры начали использовать в своем коде узбекский язык, который также распространен в Казахстане.
Хакеры используют криптовалюту для оплаты операционной инфраструктуры, например доменов и серверов, а также проверяют "курсы конвертации казахстанского тенге (KZT), официальной валюты Казахстана, и биткойна (BTC) в Google".
Группа также проводит сканирование безопасности mail[.]kz, государственной службы электронной почты Казахстана, и следит за потенциальными уязвимостями платформы. Несмотря на то, что большая часть активности направляется через Азербайджан, Cisco Talos обнаружила доказательства того, что хакеры не владеют азербайджанским языком – они регулярно посещают сайты-переводчики и проверяют переводы с азербайджанского на русский.
Cisco Talos отметила, что с момента публикации отчета о YoroTrooper в марте 2023 года, в котором подробно описывались атаки группы на агентство здравоохранения Европейского союза, Всемирную организацию интеллектуальной собственности и ряд стран СНГ, она значительно расширила свой инструментарий и тактику.
Группа использует новые, изготовленные на заказ имплантаты и отказалась от других штаммов вредоносного ПО, которые использовала ранее.
"Нацеленность YoroTrooper на государственные структуры в этих странах может свидетельствовать о том, что операторы руководствуются государственными интересами Казахстана или работают под руководством казахстанского правительства", – считают исследователи.
Для поиска уязвимостей в инфраструктуре своих объектов группа использует сканеры уязвимостей и открытые данные поисковых систем, таких как Shodan. С помощью этих инструментов летом этого года были взломаны три государственных сайта Таджикистана и Кыргызстана, на которых были размещены вредоносные программы, причем некоторые из них продолжают размещаться по состоянию на сентябрь 2023 года.
Среди скомпрометированных сайтов были сайты Торговой палаты Таджикистана, Агентства по контролю за наркотиками и государственного угольного предприятия Кыргызстана. Кроме того, объектом атаки стал сотрудник Министерства транспорта и дорожного хозяйства Кыргызстана, а также другие государственные служащие Министерства энергетики Узбекистана.
В Cisco Talos также отметили, что группа скорректировала свою тактику в свете мартовского отчета о хакерских кампаниях, которые позволяли похищать учетные данные, истории браузеров, системную информацию и скриншоты.
По словам Малхотры, хотя взлом стран СНГ не является обычным делом, исследователи в области кибербезопасности отмечают в последнее время рост числа кибератак в этом регионе мира.