Група Insikt Recorded Future ідентифікувала TAG-70, загрозливого суб’єкта, який, ймовірно, діє від імені Білорусі та Росії, здійснюючи кібершпигунство проти урядових, військових і національних інфраструктурних об’єктів у Європі та Центральній Азії принаймні з грудня 2020 року. Під час кампанії, яка тривала з жовтня по грудень 2023 року, TAG-70 використовував уразливості міжсайтових сценаріїв (XSS) на серверах веб-пошти Roundcube для націлювання на понад 80 організацій, переважно в Грузії, Польщі та Україні. Ця діяльність нагадує інші російські групи загроз, такі як BlueDelta (APT28) і Sandworm, які націлювалися на рішення електронної пошти, включаючи Roundcube, у попередніх кампаніях.
Географічне поширення жертв експлойту TAG-70s Roundcube у жовтні 2023 року (Джерело: Recorded Future)
Зламані сервери електронної пошти становлять значний ризик, особливо в контексті триваючого конфлікту в Україні. Вони можуть розкрити конфіденційну інформацію про військові дії України, її дипломатичні відносини та партнерів по коаліції. Крім того, напад на посольства Ірану в Росії та Нідерландах свідчить про ширший геополітичний інтерес до оцінки дипломатичної діяльності Ірану, особливо щодо його підтримки Росії в Україні. Подібним чином шпигунство проти грузинських державних структур відображає інтереси в моніторингу прагнень Грузії вступити до Європейського Союзу (ЄС) і НАТО.
Щоб зменшити ризики, пов’язані з кампанією TAG-70, організації повинні переконатися, що їхні інсталяції Roundcube виправлені та оновлені, водночас активно шукаючи індикатори компромісу (IoC) у своєму середовищі. Витонченість методів атаки TAG-70 і його націлювання на урядові та військові організації підкреслюють потребу в надійних заходах кібербезпеки та проактивних зусиллях з розвідки загроз. Широкомасштабний характер діяльності TAG-70 та її потенційний вплив на національну безпеку підкреслюють необхідність пильності та готовності до постраждалих організацій та урядових установ.
