Попытка атаковать российскую военную базу в Армении

Специалисты по кибербезопасности F.A.C.C.T. (бывшая Group-IB) обнаружили на платформе VirusTotal вредоносный файл, призванный атаковать 102-ю российскую военную базу в Армении. В компании уверены, что файл создан кибершпионской группой Core Werewolf, которая с 2021 года атакует объекты ВПК и критической информационной инфраструктуры в России.

F.A.С.С.T. — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Компания создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

Специалисты по кибербезопасности F.A.C.C.T. обнаружили, что вредоносный файл был загружен на VirusTotal из Гюмри (Армения), где дислоцируется российская база. В качестве документа-приманки использовалось якобы представление к госнаградам, в том числе ордену Мужества, военнослужащих, отличившихся в ходе «спецоперации» в Украине.

Как пишет российская версия Forbes, В F.A.C.C.T. уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf (PseudoGamaredon), которая с 2021 года атакует объекты оборонно-промышленного комплекса и критической информационной инфраструктуры в России. В марте 2024-го, в частности, Core Werewolf атаковала российский научно-исследовательский институт, занимающийся разработкой вооружения, а в начале апреля — российский оборонный завод. В своей вредоносной деятельности группа использует программное обеспечение UltraVNC.

Глава отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Дмитрий Купин уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении могла начаться до 15 апреля 2024 года.

Следует отметить, что хотя власти Армении и не поднимали вопрос вывода 102-й российской базы, они открыто называют военное участие России угрозой национальной безопасности страны.

Соратники Пашиняна не исключают возможности вывода 102-й базы ранее 2044 года. Сама же Россия вообще против того, чтобы эта тема стала предметом обсуждения, и дает четкий сигнал, что такого не произойдет.

В открытых источниках нет информации о принадлежности хакерской группы Core Werewolf, предпринявшей попытку кибератаки на 102-ю базу, к той или иной стране или спецслужбе. Но можно предположить, что группа имеет отношение к западным структурам.