Публикувана на 16.05.2025 от Questo
Последна промяна на 19.05.2025
Популярната уебмейл платформа Roundcube е била използвана от хакери за шпионирането на компании и държавни организации от Източна Европа, включително България.
Според компанията за киберсигурност ESET са засегнати български компании, развиващи дейност в отбранителната индустрия.
„Повечето от целите са свързани с войната в Украйна; те са или украински държавни компании, или отбранителни компании от България и Румъния. Някои от тези отбранителни компании създават оръжия от ерата на Съветския съюз, които се изпращат към Украйна“, се казва в анализа.
Според авторите на анализа атаките са възможни заради серия от XSS уязвимости в Roundcube. Тези уязвимости позволяват изпълнението на зловреден Javascript, когато жертвата отвори имейл съобщение (не е необходимо да клика на линк).
Зловредният код събира различна информация от устройството на жертвата: данни за достъп до имейл акаунта, имейл контакти, съдържание на имейлите. Освен Roundcube са атакувани и други уебмейл платформи като Zimbra и Horde.
Шпионски имейли, маскирани като новинарски бюлетини
За да е сигурно, че жертвата ще отвори изпратения имейл, авторите на атаките са използвали имейл съобщения със заглавия, които биха предизвикали интерес.
Едно такова със заглавие: „Путин се стреми Тръмп да приеме руските условия в двустранните отношения“ е изпратено до българска компания през ноември 2024 г. То имитира нюзлетър на новинарския сайт News.bg.
Имейлът е бил изпратен от адрес office@terembg[.]com. Терем Холдинг е държавна компания, която се занимава с ремонт и поддръжка на военна техника.
С такъв тип имейли са били атакувани поне три български компании от отбранителния сектор, една от които се занимава с телекомуникационни решения.
Таргетирани са още организации от Сърбия, Румъния, Кипър, Гърция, Камерун и Еквадор.
Кой е авторът на атаките
Според ESET автор на шпионската кампания е хакерската група Sednit, известна още като APT28, Fancy Bear, Forest Blizzard и Sofacy.
Има данни, че същата група и преди е шпионирала български държавни служители.
Тя оперира най-малко от 2004 г., а министерството на правосъдието на САЩ я посочва като една от отговорните за хакването на Националния комитет на Демократическата партия (DNC) точно преди изборите в САЩ през 2016 г.
Предполага се, че групата стои зад хакването на медийната група TV5Monde, изтичането на имейли на Световната антидопингова агенция (WADA) и други инциденти.
Подобни статии
