Кремлівська банда використовувала ресурси Cloudflare і GitHub, і це їм зовсім не подобалося.
Команда Cloudflare з розвідки загроз стверджує, що запобігла місячній фішинговій та шпигунській атаці, спрямованій на Україну, яку вона приписує пов’язаній з Росією банді FlyingYeti.
У той час як ця команда зазвичай націлена на українських військових, ця фішингова експедиція вирушила за громадянами з фінансовими труднощами, які скористалися державним мораторієм на виселення та відключення від комунальних послуг через несплачену заборгованість, який закінчився в січні. За словами Блейка Дарше, керівника Cloudforce One, групи безпеки Cloudflare, важко сказати, скільки жертв мали намір зловмисники.
«Зважаючи на те, що ми зупинили загрозу до того, як вони змогли успішно заразити своїх жертв, ми не знаємо повного масштабу атаки», — сказав Дарше The Register. «Однак ми можемо зробити висновок, виходячи з використаних приманок і імітації платіжної платформи «Комуналка» для всієї Київської області, що цільова база була потенційно великою».
У той час як попередні кампанії FlyingYeti були здебільшого націлені на українські сили оборони, ця мала дещо інший підхід, зазначив Дарше.
«У цій кампанії є дві потенційні методи націлювання, обидва з яких мали б значні наслідки в разі успіху», — зазначив він. «Найвірогідніше — у зв’язку з минулою тактикою, технікою та процедурами цього загрозливого суб’єкта — це те, що націлювання було вибірковим із самого початку, а початковий вектор зараження надсилався лише до цілей високої цінності».
Друга техніка, пояснив Дарше, спочатку була націлена на ширшу групу – можливо, на всіх жителів Києва. За такого підходу «успішне зараження, ймовірно, призвело б до того, що суб’єкт загрози звузився б до важливих цілей, таких як військові організації для подальшого корисного навантаження», – пояснив він.
Cloudforce One помітив FlyingYeti, який готувався до атак 18 квітня, і спостерігав за його підготовкою до середини травня.
Російська знімальна група провела рекогносцировку процесів оплати комунальних послуг в Україні, дослідила QR-коди, які використовуються в платіжних повідомленнях, а також дослідила поточні події та юридичні питання щодо заборгованості за житлово-комунальні послуги в країні.
За даними Cloudforce One, банда мала намір здійснити напад на початку травня, після православного Великодня. Гіпотеза мисливців за загрозами полягає в тому, що ця кампанія мала на меті скористатися перевагами урядового мораторію на сплату орендної плати для цивільних осіб, запровадженого на початку незаконного російського вторгнення в лютому 2022 року.
Проте 9 січня уряд скасував цю заборону, що призвело до посилення фінансового тиску на українських громадян, які накопили значні борги під час війни.
«FlyingYeti прагнув отримати вигоду з цього тиску, вдаючись до реструктуризації боргу та платіжних спокус, намагаючись підвищити свої шанси на успішне націлювання на українських громадян», — повідомили мисливці за загрозами в четвер.
Решта статті була заблокована. Щоб продовжити читання, увійдіть.