Компания Resecurity Inc. выявила рост активности группы хактивистов «Киберспецназ», которые используют текущую геополитическую напряженность между Украиной и Россией для проведения кибератак. Хакеры позиционируют себя как элитная кибернаступательная группа, нацеленная на инфраструктуру НАТО и занимающаяся кибершпионажем для кражи конфиденциальных данных.
Начиная с 24 мая группа Киберспецназ объявила о запуске новой кампании «Паноптикум», целью которой является набор 3000 специалистов-добровольцев по кибернаступлению, желающих участвовать в атаках на Европейский Союз и госучреждения Украины.
В апреле Киберспецназ создал одно из своих первых подразделений под названием «Заря», они искали опытных пентестеров, OSINT-специалистов и хакеров:
Примерно в это же время группа провела одну из своих первых скоординированных атак против НАТО. До этого члены Киберспецназа раздавали домены НАТО, чтобы спланировать эффективную атаку. Группа поделилась списком ресурсов НАТО и файлом Excel.
2 июня группа создала новый дивизион «Спарта». В сферу ответственности нового подразделения входит кибердиверсия, нарушение работы интернет-ресурсов, кража данных и финансовая разведка, ориентированная на НАТО, их членов и союзников. Созданное подразделение является официальной частью группы «Killnet Collective».
Злоумышленники называют себя хактивистами, но на данный момент связь с правительством не обнаружена. Некоторые источники уверены, что Спарта поддерживается государством.
Помимо проприетарных инструментов, Спарта использует сценарии MHDDoS, Blood, Karma DDoS, Hasoki, DDoS Ripper и GoldenEye для создания DDoS-атаки на 7 уровень модели OSI (на уровень приложения).
По словам исследователей, атаки в основном были сосредоточены на использовании плохо настроенных веб-серверов и вызывали кратковременные сбои. Надлежащее укрепление и внедрение WAF вместе с защитой от DDoS-атак могут решить проблему заранее, поскольку общий пул источников атак может быстро закончиться.
Кибератаки показали, как злоумышленники активно используют поддельные IP-адреса и развертывание инструментов на скомпрометированных IoT-устройствах и взломанных WEB-ресурсах.
Источник: SecurityLab