Киберқауіпсіздік бойынша жаңа зерттеулерге сәйкес Ресеймен байланысы бар делінетін UAC-0063 атты хакерлік топ Қазақстандағы дипломатиялық мекемелерді алдап-арбау шабуылдарын белсенді түрде жүргізуде, — деп хабарлайды ErtenMedia Darkreading порталына cілтеп.
UAC-0063-ті алғаш рет 2023 жылы Украинаның компьютерлік төтенше жағдайларға жедел әрекет ету командасы анықтап, хакерлерді Ресейдің Бас барлау басқармасына (ГРУ) қарасты APT28 тобына бағынады деп мәлімдеген.
APT28 бұған дейін 2016 жылы АҚШ-тағы Демократиялық ұлттық комитетке жасалған шабуылымен және Еуропадағы (Германия, Норвегия, Нидерланды) парламенттік құрылымдарға бағытталған кибершабуылдарымен әйгілі.
UAC-0063-тің басты мақсаты – Шығыс Еуропа және Орталық Азия елдерінің меморгандары, үкіметтік емес ұйымдары (ҮЕҰ), университеттері мен энергетика және қорғаныс салаларына тиесілі мекемелер туралы барлау мәліметін жинау.
Sekoia компаниясының мәлім еткеніндей, 2022 жылдан бастау алған осынау «науқан» Кремльдің бұрынғы одақтас республикаларға қатысты стратегиялық ақпаратты иеленуге бағытталған ауқымды әрекетінің маңызды бөлігі. Мәскеуге соңғы жылдары сыртқы саясаттағы көкжиегін біртіндеп кеңейтіп жатқан Астананың әрекеті ұнамауда.
Қазақ дипломаттарына қарсы фишинг
Sekoia зерттеушілері 2024 жылғы 16 қазанда VirusTotal платформасына жүктелген дипломатиялық құжатты көзі шалады. Бұл құжат бастапқыда Германия канцлері мен Орталық Азия елдері басшылары арасындағы бірлескен декларацияның шынайы жобасы ретінде көрінген.
Алайда құжатты ашқан кезде пайдаланушыдан макростарды қосу талап етілген.
«Макростар қосылған бетте бастапқыда түсініксіз геометриялық «пішіндер» болғандықтан, оларды өңдеу немесе мәтін енгізу үшін макросты міндетті түрде іске қосу керектігі айтылған. Пайдаланушы макросты қосқан жағдайда, Word ішіндегі жасырын командалар жұмыс істеп, қауіпсіздік параметрлерін төмендетеді де, келешекте макростарды қайта-қайта қосудың қажеті болмайтындай етіп жүйені оңтайсыз күйге келтіреді.
Осы кезде пайдаланушы байқамайтын фондық процесте екінші құжат ашылып, оған енгізілген Visual Basic коды «HatVibe» деп аталатын зиянды HTML-бағдарламаны іске қосады. «HatVibe» – қашықтағы серверден түрлі бұйрықтарды қабылдап, орындайтын шағын қалқа-бағдарламаның рөлін атқарады. Бұған дейін CERT-UA «HatVibe» бағдарламасының «CherrySpy» деп аталатын анағұрлым күрделі Python-қосымшаны жүктеп, орындай алатынын байқаған», — дейді Sekoia-ның киберқауіпсіздік бойынша сарапшысы Әмөри Гәрсон.
Зерттеушілер осы зиян құжатты ВирусТоталға алғаш жүктелгенінен шамамен 6 апта өткеcін, 2024 жылғы 27 қарашада Ресей президенті Владимир Путин Қазақстанға екі күндік мемлекеттік сапармен келгенін атап өтеді.
«Ресейдің адал одақтасы» деп атаған Қазақстанда Путин мен президент Тоқаев бірқатар кездесулер өткізіп, әсіресе энергетика саласында экономикалық әріптестік орнату мәселелерін сөз еткен-тұғын.
Sekoia мамандарының айтуынша, Украинадағы басып кіргелі бері Астана Мәскеуден біршама алшақтап, Батыс елдерімен және Қытаймен қарым-қатынасын кеңейте бастаған.
Жағрафиялық тұрғыдан Қазақстан Батыс мен Қытай арасында басты сауда көпірінің рөлін атқарады, әсіресе Украина мен Ресей қақтығысып жатқан уақытта Астананың рөлі арта түскені байқалады.
Ақорданың соңғы кезде Моңғолиямен, Ауғанстандағы «Талибан» үкіметімен және әлемнің басқа да аймақтарымен байланыстарды арттыруға талпынысы – елдің сыртқы саясаттағы бағыттарының кеңейіп жатқанын аңғартады. Тоқаев Украина мәселесінде тепе-теңдік сақтауға тырысатынын көрсетіп келеді. Қазақстан Украинаның аумақтық тұтастығын қолдайтынын айтқанымен, Ресейдің әрекеттерін ашық айыптауға әлі бармаған.
Қазақстанға бағытталған кибершабуылдың мақсаты неде?
UAC-0063-тің соңғы науқанына қатысты Sekoia жалпы 11 құжат анықтапты. Бұлар сырт көзге шынайы құжат болып көрінетін, алайда іс жүзінде зиянды файлды жасыратын «алдамшы» (примәнкі) материал. Басқаша айтқанда, бұл жалған құжат. Оның түпкі мақсаты пайдаланушыны құжатты ашуға итермелеу, сол арқылы зиянды кодты (мысалы, троян немесе бекдор) компьютерге «нәзік» жолмен жүктеу. Осылайша хакерлер мекеменің ішкі жүйесіне еніп, құпия деректерді ұрлайды әрі компьютерлік желіге тереңірек «орнығады».
Құжаттар Қазақстанның Сыртқы істер министрлігі әзірлеген шынайы дипломатиялық материалдарға өте ұқсас, яғни «түпнұсқа болып көрінетін» және әртүрлі шет мемлекеттермен арадағы байланыстарды сипаттайтын мазмұнда жасалған.
Айталық:
- Қазақстанның Ауғанстандағы және Бельгиядағы елшіліктерінен жіберілген хаттар, онда екіжақты дипломатиялық және экономикалық дамулар сипатталған;
- 2024 жылғы 16 қыркүйекте Астанада өткен Германия мен Орталық Азия елдері арасындағы саммиттен кейін дайындалған бірлескен мәлімдеме жобасы;
- Қазақстан Президентінің Моңғолияға және Нью-Йоркке сапары туралы әкімшілік есептер мен қысқаша баяндамалар.
Хакерлер мұндай құжаттарды қалай қолға түсіргені әзірше белгісіз.
«Бұл жағдай Ресейдің Қазақстан мен Батыс елдері арасындағы стратегиялық қарым-қатынастарды тереңірек зерттеуге ұмтылатынын айғақтайды. Астанаға киберқауіпсіздік шараларын күшейтіп, меморгандар мен дипломатиялық мекемелерде ақпараттық жүйелерді тұрақты түрде тексеріп отырғаны жөн», — дейді Sekoia сарапшылары.
