Jena, 10 марта 2026 г. – Базирующаяся в Jena компания по ИТ-безопасности ESET бьет тревогу: печально известная российская хакерская группировка Sednit вернулась с новым, высокотехнологичным арсеналом для шпионажа. По данным анализа экспертов, злоумышленники, также известные как APT28 или Fancy Bear, в настоящее время нацелены в первую очередь на украинские военные структуры.
- Кто: Хакерская группировка Sednit (APT28, Fancy Bear, Forest Blizzard)
- Что: Новые долгосрочные шпионские кампании с использованием сложного вредоносного ПО (SlimAgent, BeardShell)
- Текущая основная цель: Украинский военный персонал
- Известные прошлые цели: Deutscher Bundestag, TV5Monde, демократы США
- Анализирующая компания: ESET Deutschland GmbH (штаб-квартира в Jena)
От взлома Bundestag до долгосрочного военного шпионажа
Sednit считается одной из самых мощных хакерских групп в мире и приписывается российской военной разведке ГРУ. Группировка получила мировую известность, в частности, благодаря масштабной хакерской атаке на Deutscher Bundestag, саботажу французского телеканала TV5Monde и шпионским атакам на Национальный комитет Демократической партии США. Согласно текущему отчету ESET, разработчики группы за последние месяцы значительно обновили свои инструменты.
Три новых вредоносных программы в использовании
Отправной точкой текущего анализа стала находка украинской группы экстренного реагирования CERT-UA на компьютере одного из украинских ведомств в апреле 2024 года. Исследователи ESET из Jena идентифицировали прямую эволюцию прежних инструментов шпионажа:
- SlimAgent: Инструмент, который записывает нажатия клавиш, делает скриншоты и считывает буфер обмена. Он считается преемником бэкдора Xagent, использовавшегося в 2010-х годах.
- BeardShell: Это вредоносное ПО злоупотребляет облачным хранилищем Icedrive как скрытым каналом связи. Поскольку трафик выглядит как обычное использование облака, классические фильтры безопасности могут быть обойдены.
- Covenant: Модифицированный фреймворк с открытым исходным кодом, который поддерживает постоянный доступ к целевым компьютерам через манипулируемые облачные аккаунты (такие как Filen, Koofr или pCloud). ESET доказала, что украинские военные компьютеры таким образом находились под наблюдением более шести месяцев.
Следы кода ведут в прошлое
Особенно информативным для экспертов по кибербезопасности является технический почерк разработчиков. В BeardShell исследователи обнаружили редкую математическую технику маскировки, которая уже использовалась в период с 2013 по 2016 год в сетевом инструменте Xtunnel. Такие цифровые отпечатки пальцев считаются в анализе государственных хакеров веским доказательством того, что за работой стоит та же команда программистов, что и десять лет назад.
Почему группа перешла на более простые методы в период с 2019 по 2024 год, прежде чем снова начать использовать высокосложные индивидуальные разработки, до конца не ясно. Исследователи ESET предполагают, что агрессивная война против Украины потребовала расширения разведывательных операций, или же группа в предыдущие годы просто действовала осторожнее, чтобы оставаться незамеченной.
Дополнительная информация и контакты
Полный технический отчет «Sednit вернулся» заинтересованные лица могут найти в блоге по ИТ-безопасности Welivesecurity.com.
Контакт ESET Deutschland GmbH:
Контактное лицо: Philipp Plum
Телефон: 03641 3114 141
E-Mail: philipp.plum@eset.com
Веб-сайт: www.eset.de
Справочная информация: ИТ-кластер Jena и кибербезопасность
ESET Deutschland GmbH имеет штаб-квартиру в Jena, что укрепляет репутацию «города света» как одного из важнейших ИТ- и технологических центров в Thüringen. Кибершпионаж и государственные хакерские атаки обычно направлены против правительственных учреждений, военных или операторов критической инфраструктуры. Тем не менее, частные лица и предприятия среднего бизнеса также получают выгоду от анализа крупных охранных компаний: данные о методах профессиональных хакеров напрямую используются при разработке антивирусного ПО и брандмауэров, которые в конечном итоге защищают сети по всему миру от современных угроз. В целом эксперты по ИТ советуют всегда своевременно устанавливать обновления программного обеспечения и проявлять крайнюю осторожность при открытии вложений в электронных письмах и ссылок на облачные ресурсы от неизвестных отправителей.
Источник:
Jena – Sie haben den Deutschen Bundestag (https://www.deutschlandfunk.de/was-russland-mit-den-angrif
Примечание о прозрачности: Данная статья была создана автоматически, проверена редакцией и дополнена с помощью ИИ.