Российская хакерская группировка на протяжении нескольких месяцев атаковала членов правительства Словакии. Об этих обвинениях сообщил ресурс The Record со ссылкой на словацкое представительство ESET и местную компанию IstroSec, занимающуюся вопросами кибербезопасности.
Издание отмечает, что к атаке причастна группа APT29, также известная под названиями Dukes и Nobelium. Ее члены с февраля по июль 2021 года рассылали фишинговые письма словацким дипломатам с электронных адресов, якобы принадлежащих местных спецслужбам. К сообщениям прикрепляли файл образа с расширением *.iso, который после загрузки устанавливал на устройство жертвы фреймворк Cobalt Strike. О результатах атак «русских хакеров» ничего не сообщается.
Словацкие эксперты по кибербезопасности считают, что за атаками стоит Служба внешней разведки России. В частности, по словам представителей IstroSec, они обнаружили серверы Службы внешней разведки (СВР), применявшиеся при заражениях. На некоторых из них якобы были найдены документы, свидетельствующие о подготовке аналогичных атак против чешских чиновников.
Cobalt Strike — легальное ПО, с помощью которого эксперты по безопасности тестируют сети на устойчивость к проникновению. Киберпреступники переработали этот фреймворк, чтобы он служил в их интересах. Его используют при организации сетевых атак, для установки несанкционированного доступа и развертывания вредоносного кода на зараженном устройстве. Детальные русскоязычные мануалы о способах его применения были слиты в даркнет на прошлой неделе хакером-предателем, связанным с другой российской группировкой — Conti.