Новое исследование кампании кибершпионажа, приписываемой группе APT28, выявило беспрецедентные провалы в операционной безопасности злоумышленников. В результате ошибки конфигурации, оставившей открытый доступ к серверу управления, аналитики получили полную видимость в операции, длившейся более 500 дней и нацеленной на военные и правительственные учреждения Украины и нескольких стран-членов НАТО. Обнаруженные данные включают тысячи перехваченных писем, сотни украденных учетных данных и детальную телеметрию атакующих.
Описание
Кампания, отслеживаемая как Operation Roundish, была первоначально задокументирована исследователями Hunt.io в январе 2026 года. Однако последующий анализ компании Ctrl-Alt-Intel, обнаружившей второй открытый каталог на том же сервере, раскрыл гораздо более широкую картину. На сервере находился исходный код инфраструктуры управления, дополнительные полезные нагрузки, логи телеметрии и эксфильтрированные данные. Собранная информация оказалась ошеломляющей: более 2800 писем, перехваченных из почтовых ящиков государственных и военных ведомств, свыше 240 наборов учетных данных, включая пароли и секреты двухфакторной аутентификации (2FA), а также более 140 правил автоматической пересылки всей входящей почты на контролируемые злоумышленниками адреса.
Группа, известная под названиями FancyBear, APT28, Forest Blizzard (STRONTIUM) или Sednit, котора успешно скомпрометировала объекты в Украине, Румынии, Болгарии, Гретии, Сербии и Северной Македонии. Важно отметить, что в список жертв вошли организации из четырех стран Альянса. Исследователи также обнаружили ранее неизвестную вредоносную нагрузку для веб-почты SquirrelMail, расширяя список целевых платформ в этой кампании. Аналитики связали эту инфраструктуру с отчетом украинского национального центра реагирования на компьютерные инциденты (CERT-UA) за сентябрь 2024 года, что означает, что группа действовала с одного и того же сервера C2 долгое время после его публичного разоблачения.
Ключевым вектором атаки стала эксплуатация уязвимости CVE-2023-43770 в популярном веб-клиенте Roundcube. Злоумышленники отправляли целевые фишинговые письма, содержащие вредоносный JavaScript-код. При простом открытии такого письма (без необходимости переходить по ссылкам или запускать вложения) в контексте сессии жертвы исполнялся скрипт, который запускал цепочку разрушительных действий. Модульная архитектура инструментария позволяла гибко адаптировать функционал под конкретную цель. Основные возможности включали автоматическую эксфильтрацию всего содержимого папок «Входящие» и «Отправленные», кражу адресной книги контактов, извлечение секретных ключей TOTP для обхода двухфакторной аутентификации и, что наиболее опасно, создание на сервере правил фильтрации почты (Sieve), которые тихо перенаправляли копии всех будущих входящих писем на ящики атакующих.
Геополитический контекст выборки жертв указывает на целенаправленный, а не случайный характер кампании. Компрометация румынских, болгарских и греческих военных структур совпадает по времени с подписанием в июле 2024 года соглашения об ускоренном перемещении войск и вооружений между этими тремя странами на восточном фланге НАТО. Внимание к украинским прокуратурам, особенно региональным, может быть связано с интересом к расследованиям военных преступлений. При этом группа продемонстрировала вопиющие ошибки в операционной безопасности (OPSEC). Использование открытых каталогов на сервере для обмена файлами, оставленными без пароля, позволило исследователям получить доступ к внутренней кухне операции. Несмотря на статус «высокотехнологичной» угрозы, APT28 продолжала использовать один и тот же публично известный IP-адрес сервера на протяжении более полутора лет, игнорируя базовые принципы конспирации.
Для специалистов по информационной безопасности этот инцидент служит суровым напоминанием о критической важности своевременного обновления программного обеспечения, особенно публично доступных веб-сервисов. Эксплуатация уязвимости в Roundcube, для которой патч был выпущен еще в 2023 году, стала краеугольным камнем успеха всей кампании. Организациям, использующим веб-почту, необходимо рассмотреть дополнительные меры защиты, такие как регулярный аудит правил фильтрации на почтовых серверах, строгий контроль за внедрением контента (CSP) для предотвращения XSS-атак и принудительное использование аппаратных ключей безопасности вместо TOTP для критически важных учетных записей, где это возможно. Обнаружение данной утечки данных со стороны атакующих также подчеркивает ценность мониторинга открытых источников и технических разведданных для выявления собственных компрометаций на ранней стадии.
Индикаторы компрометации
IPv4
- 162.0.236.189
- 203.161.50.145
- 209.74.89.76
Domains
- gov.vppdr.com
- mail.govmk.com
- zhblz.com
URLs
- https://zhblz.com/zJ2w9x
Emails
- advenwolf@proton.me
