A Fancy Bear olyan védelmi vállalatokat vett célba, amelyek fegyvereket szállítanak Ukrajnának - ez derül ki a német Eset biztonsági cég friss tanulmányából.
A hosszú évek óta létező, a Kreml irányítása alá tartozó hackercsoport támadásai elsősorban a szovjet fegyvertechnológia bulgáriai, romániai és ukrajnai gyártói ellen irányultak, amelyek kulcsszerepet játszanak az orosz invázió elleni védekezésben. A kibertámadások afrikai és dél-amerikai védelmi vállalatokat is érintettek - írja a Spiegel.
A Fancy Bear csoport Sednit vagy APT28 néven is ismert. Feltehetően a német Bundestag elleni 2015-ös, Hillary Clinton amerikai politikus elleni 2016-os és a német szociáldemokraták (SPD) pártközpontja elleni 2023-as támadásáért is felelős.
Szakértők szerint a csoport az orosz hírszerző szolgálatok azon stratégiájának része, amelynek célja, hogy a kibertámadásokat politikai befolyásgyakorlás és destabilizáció eszközeként használják. A kémkedés mellett a nyugati demokráciák ellen irányuló célzott dezinformációs kampányokra is összpontosítanak.
A mostani, "Operation RoundPress" elnevezésű kémkedési kampányban a hackerek a népszerű webmail szoftverek, köztük a Roundcube, a Zimbra, a Horde és az MDaemon programok sebezhetőségeit használták ki. Számos sebezhetőséget jó szoftverkarbantartással ki lehetett volna küszöbölni - jegyzi meg a német lap.
Egy esetben azonban az érintett cégek gyakorlatilag tehetetlenek voltak, mert a támadók az MDaemon egy korábban ismeretlen sebezhetőségét tudták kihasználni, amelyet kezdetben nem lehetett lezárni.
Az Eset kutatóinak megállapításai szerint a támadásokat általában híreknek álcázott, manipulált e-mailekkel indították. Feladóként olyan látszólag jó hírű forrásokat használtak, mint a Kyiv Post vagy a News.bg bolgár hírportál. Amint az e-mailt megnyitják a böngészőben, elindul egy rejtett kártevő program. A spamszűrőket a folyamat során megkerülik.
"Sok vállalat elavult webmail szervereket üzemeltet" - véli Matthieu Faou, az Eset kutatója. "Már egy e-mail megjelenítése a böngészőben elegendő lehet rosszindulatú kód futtatásához anélkül, hogy a címzett aktívan rákattintana bármire."