Хакерська група BadPilot, яка є частиною кремлівських хакерів Sandworm, змінила цільову аудиторію у 2024 році та тепер проявляє інтерес до мереж англомовних західних країн. Про це пише Wired, що проаналізував звіт Microsoft.
Microsoft відстежував діяльність BadPilot понад три роки, аналітики компанії називають цю групу «операцію початкового доступу», адже вони зламують та отримують доступ до мереж жертв.
А потім передають його хакерам Sandworm, яких дослідники давно пов’язують із російською військовою розвідкою. Отримавши доступ, Sandworm крадуть інформацію або роблять інші кібератаки.
Аналітики описують роботу BadPilot так: вони роблять велику кількість спроб вторгнення, а потім сортують результати, щоб зосередитися на конкретних жертвах. За останні три роки вони змінювали географію атак:
- у 2022 році майже повністю зосередилися на Україні;
- у 2023 році розширили свої атаки на мережі по всьому світу,
- у 2024 році знову змістили фокус на США, Велику Британію, Канаду та Австралію.
Поширення кібератак BadPilot. Зображення Microsoft
Microsoft не назвали конкретних жертв BadPilot. Але вказали, що їхніми цілями були: енергетика, нафта і газ, телекомунікації, судноплавство, виробництво зброї та міжнародні уряди. Також йдеться, що робота цієї групи призвела до щонайменше трьох кібератак зі знищення даних Sandworm проти українських об’єктів.
Чому BadPilot змінили фокус
Таке зміщення фокуса директор зі стратегії аналізу загроз Microsoft Шеррод ДеГріппо пов’язує з політикою. Він сказав, що вибори та зміна політичного ландшафту «спонукає до зміни тактики та цілей».
Як працюють BadPilot
За три роки BadPilot намагалися зламати мережі різних організацій, використовуючи відомі, але не виправлені уразливості в програмах. Наприклад — проблеми в Microsoft Exchange та Outlook, а також в OpenFire, JetBrains і Zimbra.
А у 2024 році, зосередившись на західних країнах, вони використовували вразливості в програмах для віддаленого доступу до комп’ютерів — Connectwise ScreenConnect і Fortinet FortiClient EMS.
Потім BadPilot встановлювали ПЗ, яке дає постійний доступ до комп’ютера-жертви, часто за допомогою легальних інструментів віддаленого доступу, таких як Atera Agent або Splashtop Remote Services.
Цикл роботи BadPilot. Зображення Microsoft
У деяких випадках для більш складних атак BadPilot налаштовує комп’ютер жертви так, щоб він працював як так званий onion service в анонімній мережі Tor, фактично перетворюючи його на сервер, який спілкується через проксі-сервери Tor для приховування своїх комунікацій.
Як пише Wired, будь-які ознаки діяльності Sandworm викликають занепокоєння. Адже це угрупування спричинило щонайменше три відключення електроенергії в Україні. Нагадаємо, у 2024 році ця група хотіла вивести з ладу інформаційно-комунікаційні системи в Україні, проте команда CERT-UA викрила це.
