Ruské úrady padajú ako domino. Táto nová hackerská skupina z Ukrajiny im ničí online systémy jeden za druhým
Hackeri zo skupiny BO Team vedú ničivé útoky na ruské inštitúcie. Vymazávajú dáta, šifrujú systémy a zanechávajú výkupné odkazy.
Na prvý pohľad vyzerá všetko normálne. Počítač funguje, systém beží, nič nenasvedčuje tomu, že sa niečo deje. No niekde v pozadí už pracuje kód, ktorý má jediný cieľ a to vymazať všetko. Bez výnimky. Server Kaspersky upozorňuje na hackerov, ktorí robia Rusom vrásky na čele. Za útokmi stojí nová nebezpečná hackerská skupina BO Team, ktorá si dala za cieľ zneškodniť ruské organizácie. A darí sa im to dobre.
Skupina, ktorá je známa aj pod menami Black Owl, Hoody Hyena alebo Lifting Zmiy, sa prvýkrát objavila začiatkom roku 2024. Prostredníctvom Telegramu vyhlásila svoju podporu Ukrajine vo vojne s Kremľom a odvtedy útočí výhradne na ciele v Ruskej federácii. Odborníci sa zhodujú, že ide o pro-ukrajinskú digitálnu bunku, ktorá má vlastný arzenál a taktiku.
Ich štýl je iný než u bežných hackerov. Nepotrebujú sa predvádzať ani predávať údaje na darknete, čo je bežná praktika typu útokov, ktoré vykonávajú. BO Team prichádza, ničí všetko, čo sa dá, a po sebe zanecháva len šifrované súbory a výkupné odkazy.
Systémy napádajú hlavne cez phishing
Útočníci začínajú klasicky, falošnými e-mailami. Tie vyzerajú mimoriadne dôveryhodne. Obsahujú obchodné ponuky, faktúry alebo zmluvy. Ak používateľ klikne na prílohu, spustí škodlivý program, ktorý otvorí zadné vrátka do systému. V tom momente majú hackeri voľnú cestu do zariadenia a môžu začať s ich prácou.
Používajú nástroje ako Remcos, DarkGate či BrockenDoor, hackerom umožňuju prebrať kontrolu nad infikovaným zariadením a získať tak nad ním vzdialený prístup a na ďalšiu manipuláciu so systémom obete. Okrem toho môžu aj sledovať aktivitu používateľov, čo robia.
Neprehliadni
No tým to len začína. Spočiatku sú v systéme nenápadní, no potom to rozbalia. Ich hlavná zbraň sa volá Babuk ransomvér, ktorý zašifruje všetky dáta v počítači. Zároveň sa spustí aj nástroj SDelete, ktorý odstráni všetky zálohy. Obnoviť dáta je preto prakticky nemožné.
Ak si obete myslia, že sa z toho dostanú bez zaplatenia, mýlia sa. V každom priečinku nájdu výkupný list s požiadavkou na platbu v kryptomene. Bez nej nedostanú späť nič. Rovnako otázne je, či niečo dostanú späť po tom, ako zaplatia.
Jedným z dôvodov, prečo sú tieto útoky tak úspešné, je ich dôkladné maskovanie. Škodlivé súbory nesú názvy ako msedge-update.exe či procexp64.exe, ktoré bežný používateľ považuje za systémové súčasti Windowsu. Často sú uložené priamo v adresári System32, kde by ich málokto hľadal.
Hrozbu znásobuje aj fakt, že skupina používa vlastné spúšťače ako napríklad av_scan.exe, ktorý spúšťa ničivý proces vymazania celého disku. Po útoku zostáva len prázdny systém a nahrávka výsmechu zo strany útočníkov.
Podľa spoločnosti Kaspersky boli všetky útoky namierené na ruské firmy a to predovšetkým štátne inštitúcie, IT spoločnosti, výrobné podniky a telekomunikácie. Skupina BO Team pritom nepôsobí ako bežný gang, ide ale o dobre organizované a technicky zdatné zoskupenie, ktoré operuje autonómne a bez viditeľného napojenia na iné hackerské siete.
„Obete pochádzali najmä zo štátneho sektora, IT, telekomunikácií a výroby. BO Team funguje autonómne a technicky sa neprekrýva s inými pro-ukrajinskými skupinami. Hoci boli zaznamenané občasné kontakty (napr. komentáre od 4BID na Telegrame), neexistujú dôkazy o aktívnej spolupráci.“
Desiatky úspešných útokov na Rusko
Skupina BO Team sa preslávila útokom, pri ktorom vymazala približne tretinu ruského národného elektronického systému súdneho podania. Ide o útok z mája tohto roka. Okrem toho napríklad hackeri prenikli aj do federálneho úradu pre digitálne podpisy a vedeckého výskumného centra.
V januári 2024 hackeri z BO Team zničili 280 serverov a vymazali 2 petabajty dát v štátnom hydrometeorologickom výskumnom centre na Ďalekom východe Ruska. Útok spôsobil škody odhadované na 10 miliónov dolárov a vážne narušil schopnosť Ruska analyzovať satelitné dáta.
Spomenúť môžeme ale aj útok z februára 2024, kedy sa skupine podarilo preniknúť do elektronického systému ruského ministerstva obrany, kde získali prístup k tisícom citlivých dokumentov vrátane rozkazov a správ. Medzi získanými údajmi boli aj dokumenty patriace námestníkovi ministra obrany Timurovi Ivanovovi.
Prípadne ešte útok z konca júna 2024, kedy hackeri zacielili na najväčších poskytovateľov internetu na okupovanom Kryme, čím spôsobila rozsiahle výpadky služieb a narušila komunikáciu v regióne.
Komentáre