21 мая 2025 года международная группа кибербезопасности (CISA, NSA, FBI, NCSC-UK, BND и другие) опубликовала отчёт о кампании российской хакерской группы APT28 (также известной как Fancy Bear, Forest Blizzard). Целями атак стали западные логистические компании и IT-организации, участвующие в поставках помощи Украине.
Описание
Злоумышленники из Fancy Bear (APT28) нацелились на десятки компаний в сфере транспорта, обороны и IT в странах НАТО, включая США, Германию, Польшу, Францию и Украину. Среди жертв — порты, аэропорты, железнодорожные операторы и производители систем управления движением поездов.
Методы взлома
Для проникновения в системы хакеры использовали:
- Подбор паролей и атаки методом "грубой силы" через Tor и VPN.
- Фишинговые письма с поддельными страницами входа в облачные сервисы.
- Эксплуатацию уязвимостей в Outlook (CVE-2023-23397), Roundcube (CVE-2020-12641) и WinRAR (CVE-2023-38831).
- Взлом IP-камер на границах Украины для слежения за грузами.
Действия после взлома
После получения доступа злоумышленники:
- Крали данные Active Directory с помощью инструментов Certipy и ADExplorer.
- Устанавливали вредоносные программы HEADLACE и MASEPIE.
- Перехватывали расписания поставок, номера контейнеров и маршруты доставки.
- Использовали голосовой фишинг, выдавая себя за IT-специалистов.
Связь с предыдущими атаками
APT28 также массово атаковала IP-камеры в Украине и приграничных странах, используя уязвимости в протоколе RTSP. Более 80% атак пришлось на украинские камеры, что указывает на стратегический интерес к логистике военных грузов.
Индикаторы компрометации
IPv4
- 103.97.203.29
- 109.95.151.207
- 124.168.91.178
- 138.199.59.43
- 147.135.209.245
- 159.196.128.120
- 162.210.194.2
- 178.235.191.182
- 178.37.97.243
- 185.234.235.69
- 192.162.174.67
- 192.162.174.94
- 194.126.178.8
- 194.187.180.20
- 207.244.71.84
- 209.14.71.127
- 212.127.78.170
- 213.134.184.167
- 213.32.252.221
- 31.135.199.145
- 31.42.4.138
- 46.112.70.252
- 46.248.185.236
- 64.176.67.117
- 64.176.69.196
- 64.176.70.18
- 64.176.70.238
- 64.176.71.201
- 70.34.242.220
- 70.34.243.226
- 70.34.244.100
- 70.34.245.215
- 70.34.252.168
- 70.34.252.186
- 70.34.252.222
- 70.34.253.13
- 70.34.253.247
- 70.34.254.245
- 79.184.25.198
- 79.185.5.142
- 83.10.46.174
- 83.168.66.145
- 83.168.78.27
- 83.168.78.31
- 83.168.78.55
- 83.23.130.49
- 83.29.138.115
- 89.64.70.69
- 90.156.4.204
- 91.149.202.215
- 91.149.203.73
- 91.149.219.158
- 91.149.219.23
- 91.149.223.130
- 91.149.253.118
- 91.149.253.198
- 91.149.253.20
- 91.149.253.204
- 91.149.254.75
- 91.149.255.122
- 91.149.255.19
- 91.149.255.195
- 91.221.88.76
- 93.105.185.139
- 95.215.76.209
