- Тип
- Внезапно Внезапно
- Категория
- IT и Телеком
- Дата публикации
РФ пыталась украсть e-mail посольства Ирана в Албании. Его закрыли ранее из-за кибератаки самого Ирана на Албанию
Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) при Госслужбе спецсвязи и защиты информации обнаружила и исследовала факт распространения хакерской группой APT28 (также известной как Pawn Storm, Fancy Bear, BlueDelta), управляемой Главным управлением Генштаба Вооруженных сил России, фишинговых атак с целью получения аутентификационных данных, необходимых для входа в публичные почтовые сервисы.
Как говорится в сообщении структуры, хакеры рассылают HTML-файлы, которые имитируют веб-интерфейс почтовых сервисов (в частности, Ukr.net и Yahoo.com) и реализуют техническую возможность эксфильтрации введенных жертвой аутентификационных данных с помощью HTTP POST-запросов. Передача похищенных данных осуществляется с помощью заранее скомпрометированных устройств Ubiquiti (EdgeOS).
При этом отдельно в CERT-UA обращают внимание на тот факт, что один из этих HTML-файлов ("detail.html") содержит электронный адрес объекта атаки: "[email protected]". Известно, что этот адрес принадлежит посольству Ирана в Албании.
"Исходя из изложенного, целесообразно сделать вывод о том, что группировкой APT28, деятельность которой направляется ГУ ГШ ВС РФ, в мае 2023 года, среди прочего, осуществлена целевая кибератака в отношении зарубежного дипломатического учреждения Ирана", - отмечают в CERT-UA.
Подписывайтесь на Telegram-канал delo.uaНапомним при этом, что 7 сентября 2022 года правительство Албании решило разорвать дипломатические отношения с Ираном, дав 24 часа, чтобы весь дипломатический и административно-технический персонал, включая сотрудников службы безопасности, покинул страну. На следующий день сообщалось, что персонал действительно спешно покинул посольство, и здание взял под контроль Отдел нейтрализации вооруженных элементов албанской полиции.
Причиной такого резкого шага стала кибератака на государственные сайты 15 июля, в совершении которой Албания обвинила Иран. Она была проведена незадолго до запланированной на 23-24 июля конференции "Всемирный саммит свободного Ирана".
Она должна была состояться в лагере у городка Манза под Тираной, построенном оппозиционной иранскому правительству леворадикальной военизированной "Организацией моджахедов иранского народа", которой Албания предоставила убежище "в гуманитарных целях", и которую Иран, равно как и соседний Ирак, считает террористической организацией. Однако в итоге 22 июля было объявлено об отмене мероприятия.
Отметим также, что недавно в CERT-UA сообщали и о другой активности в отношении пользователей почтового сервиса Ukr.net: им рассылают PDF-файлы "Предупреждение о безопасности" с угрозой блокировки почтового ящика и ссылкой на мошеннический сайт, имитирующий веб-страницу этого сервиса.