Вдень 18 червня на особисту електронну пошту Гліба Гусєва прийшов лист з поштової адреси james***[email protected], підписаний іменем Ігор Д****юк. Відправник писав, що отримав контакт від людини на імʼя Сергій С***р. Посилаючись на рекомендацію цього Сергія, він просив допомогти з розповсюдженням інформації. Вже за вихідними даними листа було важко не запідозрити спробу фішингової атаки — особливо, враховуючи, що Гліб Гусєв не знав людей із такими прізвищами.
«Інформація», яку просили розповсюдити, виглядала так. «Я піхотинець 2 штурмового батальйону *** ОШП, — повідомляв відправник. — У нас в батальйоні командир щомісяця вимагає з усіх піхотинців віддавати 30% відсотків від бойових…». Далі він описував скрутне становище підрозділу, писав, що йому «скинули скрини переписок, платіжки і всю цю брудну бухгалтерію», і казав, що готовий «поділитися доказами».
Підрозділ, на який посилався відправник, є одним з найбільш відомих у складі штурмових військ ЗСУ. Цей підрозділ фігурував у резонансному матеріалі Гліба Гусєва двомісячної давнини, який зібрав 130 тисяч переглядів. Було зрозуміло, що атакуюча сторона обрала метод «соціальної інженерії», вивчила роботу редактора «Бабеля» та сформувала атаку саме під профіль цілі. У кінці листа очікувано стояв лінк на зовнішній ресурс — папку на сервісі fex.net.
«Бабель»
Команда «Бабеля» працювала в ізольованому середовищі. За лінком був архів, в архіві — два «офісних» документи з програмами-макросами розміром 25 МБ та 27 МБ. Вони були «свіжі» — створені в цей день зранку. За допомогою криптографічного алгоритму ми отримали так звану «хеш-суму» файлів — тобто унікальний (для кожного файлу) рядок букв і цифр. Аналогічної «хеш-суми» не знайшлося у відкритій базі даних шкідливого програмного забезпечення. Це означало, що атакуючий скрипт, імовірно, є персоналізованим.
Далі ми вивчили код програм-макросів — тобто прочитали та проаналізували його, не запускаючи самі макроси. Виявилося, що файли належать до типу «дроперів». Вони мали «розпакуватися» в окрему програму на компʼютері і запустити її в фоновому режимі. Програма мала непомітно спостерігати та збирати інформацію.
Про персоналізовану хакерську атаку редакція «Бабеля» повідомила CERT-UA. Це спеціальна «група швидкого реагування» на кіберзагрози, яка належить до Державної служби спеціального звʼязку та захисту інформації (ДССЗЗІ). Фахівці підтвердили нам шкідливість файлів та продовжують їх аналіз. Ми додамо розгорнутий коментар CERT-UA в цю новину, коли його отримаємо. Користуючись нагодою, редакція радить годне інтервʼю фахівця з кібербезпеки, що там працює.
Повідомлення від CERT-UA.
«Бабель»
За наявними у редакції «Бабеля» даними неможливо встановити автора атаки. Простіше кажучи — ми не знаємо, хто це. Напередодні, 17 червня, народний депутат Ярослав Железняк заявив у своєму телеграм-каналі, що «Бабель» приховує своїх справжніх власників, та закликав прислати йому «детальну інформацію». «Займуся медіакілерством», — написав він. Сьогодні він присвятив «Бабелю» чотири пости в своєму телеграм-каналі, не озвучуючи своїх претензій по суті.
Скриншот телеграм-каналу Ярослава Железняка.
Telegram