Группа наемных хакеров Void Balaur более пяти лет атакует компании и людей по всему миру

Аналитики компании Trend Micro подготовили детальный отчет о хакерской группировке Void Balaur. Эти наемники более пяти лет взламывают компании и отдельных людей, похищают почту и конфиденциальную информацию, и продают данные своим клиентам, преследующим как финансовую выгоду, так и шпионские цели.

Void Balaur

По данным исследователей, с середины 2010-х годов группировка атаковала 3500 целей по сему миру, среди которых были ИТ-компании, телекоммуникационные компании, активисты, журналисты и религиозные лидеры. При этом, в отличие от других хакеров-наемников, Void Balaur просто рекламирует свои услуги на русскоязычных хакерских форумах, а не на специализированных выставках и конференциях, как делают их «коллеги по цеху».

Изначально специалисты Trend Micro и вовсе считали Void Balaur подгруппой APT28 (она же Fancy Bear, Sednit, Sofacy, Strontium и PwnStorm), которую ИБ-специалисты давно связывают с ГРУ и российскими спецслужбами.

«В общей сложности мы наблюдали около 12 email-адресов, на которые нацеливались PawnStorm (в период с 2014 по 2015 год) и Void Balaur (в период с 2020 по 2021 год)», — пишут исследователи.

Однако при более внимательном изучении фактов исследователи пришли к выводу, что связи с APT28 может и не быть. Так, некоторые из атак были связаны с инфраструктурой RocketHack[.]me, сайта, рекламирующего услуги взлома по найму. Этот же сайт упоминался в многочисленных рекламных объявлениях на русскоязычных хак-форумах, таких как Probiv, Tenec и Darkmoney, начиная с 2017 года.

Сначала Void Balaur  рекламировала свои услуги по взлому электронной почты и учетных записей целей в социальных сетях (Gmail, Protonmail, Mail.ru, «Яндекс», «ВКонтакте», а также корпоративные ящики, Telegram и так далее). Это вполне согласуется с большим количеством фишинговых сайтов и малварью для кражи информации, которые связаны с инфраструктурой группы.

«Для некоторых российских почтовых провайдеров копии почтовых ящиков предлагается достать без какого-либо взаимодействия с пользователем. У нас нет причин сомневаться в том, что это реальное бизнес-предложение, потому как мы вообще не видели отрицательных отзывов о Void Balaur на хак-форумах. Мы не знаем, как они похищают данные (такие как электронные письма) без взаимодействия с пользователем, но существуют сценарии, при которых такое возможно», — гласит отчет.

Изменить выводы о связи Void Balaur с APT28  экспертов заставил тот факт, что в 2019 года группировка стала рекламировать продажу личных и конфиденциальных данных лиц из России, включая данные паспортов, водительских прав, личные телефонные разговоры, снимки с дорожных камер, информацию о регистрации оружия, судимостях, кредитной истории, данные налоговой службы и многое другое. Исследователи не знают, как хакеры получили доступ к такому количеству конфиденциальных данных, но предполагают, что все это могло использоваться для сокрытия более серьезных преступлений.

«Телекоммуникационные данные, которые продает Void Balaur, включают записи телефонных разговоров с данными о местоположении вышек сотовой связи, которые могут показать, кому звонил человек, сообщить продолжительность звонка и приблизительное местоположение, откуда звонок был сделан.

Такие детали могут служить нескольким целям, включая совершение серьезных преступлений, равно как и блокировка телефонных номеров, — услуга, которую тоже предлагает Void Balaur. Например, можно обеспечить, чтобы чей-то телефон был недоступен во время совершения преступления. Стоимость записи телефонных разговоров с информацией о вышках сотовой связи и без нее сильно отличается для разных российских провайдеров (примерно в десять раз). Судя по всему, получить телефонные записи от одних телекоммуникационных компаний намного проще, чем от других».

Цели

Как уже было сказано выше, эксперты обнаружили более 3500 целей, которые атаковала группа в течение последних нескольких лет. Многие из этих атак были направлены на телекоммуникационные компании в России и США, но также группа атаковала и отдельных лиц, включая активистов и журналистов. К примеру, Trend Micro заявила, что серия атака на журналистов и правозащитников в Узбекистане в 2016 и 2017 годах, описанная отчете eQualitie, была делом рук Void Balaur.

Также группировка занималась и другими политическими целями. Так, в 2020 году хакеры атаковали кандидатов в президенты Беларуси. В августе 2021 года группа также нацеливались на политиков и правительственных чиновников из Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии.

Сообщается, что совсем недавно, в сентябре 2021 года группа также пыталась получить доступ к почтовым ящикам «бывшего главы разведывательного агентства, пяти действующих министров (включая министра обороны) и двух членов национального парламента восточноевропейской страны».

Но, помимо политиков, целями Void Balaur становились и частные компании. Например, отчет экспертов гласит, что группировка нацеливалась на членов совета директоров, руководителей и глав одного из крупнейших корпораций в России (название не раскрывается). Хакеры зашли настолько далеко, что атаковали даже членов семьи владельца компании, неназванного российского миллиардера. Данная кампания длились почти год, с сентября 2020 года по август 2021 года.

Также среди других целей Void Balaur были компании, которые имеют доступ к огромному количеству конфиденциальных данных. По мнению исследователей, в первую очередь хакеров интересовала возможность продавать эти данные на подпольных форумах. Среди таких компаний:

  • мобильные и обычные телекоммуникационные компании;
  • продавцы сотового оборудования;
  • компании радио- и спутниковой связи;
  • продавцы банкоматов;
  • продавцы POS;
  • финтех-компании и банки;
  • компании бизнес-авиации;
  • медицинские страховые организации как минимум в трех регионах России;
  • центры экстракорпорального оплодотворения (ЭКО) в России;
  • биотехнологические компании, предлагающие услуги генетического тестирования.

 

«Void Balaur не только взламывает почтовые ящики, но также занимается продажей конфиденциальной информации своих целей. В список входят логи вышек сотовой связи, паспортные данные, SMS-сообщения и многое другое. Кроме того, Void Balaur, по всей видимости, нацелена на многочисленные организации и отдельных лиц, которые могут иметь доступ к очень конфиденциальным данным о людях», — говорят в Trend Micro.

Также отмечается, что с 2018 года Void Balaur управляет несколькими фишинговыми сайтами, которые, по всей видимости, нацелены на пользователей криптовалюты. Неясно, были ли эти сайты созданы по  собственной инициативе группы или они нужны одному из клиентов группировки.

Судя по информации, собранной специалистами Trend Micro, Void Balaur занимается продажей личных данных всем, кто готов платить. Эти наемникам попросту все равно, что их клиенты будут делать с приобретенной информацией.

Источник 📢