Бесплатно Экспресс-аудит сайта:

12.11.2021

Хакеры по найму Void Balaur атаковали глав российских телеком-компаний

Киберпреступная группировка Void Balaur, предлагающая услуги хакинга за деньги, уже более пяти лет похищает электронные письма и высокочувствительную информацию и продает ее как преступникам, преследующим финансовую выгоду, так и шпионам. Жертвами Void Balaur являются более 3,5 тыс. человек и организаций различных сфер деятельности (телекоммуникационной сферы, торговой, финансовой, здравоохранения и биотехнологической) по всему миру. Свои услуги группировка рекламирует на русскоязычных киберпреступных форумах.

Как сообщают специалисты ИБ-компании Trend Micro, Void Balaur работает по следующей бизнес-модели: похищает «наиболее конфиденциальные и персональные данные компаний и отдельных лиц» и продает заинтересованным покупателям.

«Void Balaur занимается не только взломом электронной почты, но также торговлей чувствительной конфиденциальной информацией своих жертв. Сюда входят данные базовой станции, паспортные данные, SMS-сообщения и пр. Вдобавок, Void Balaur атаковала большое количество организаций и отдельных лиц, у которых с большой вероятностью есть доступ к высокочувствительной информации», - сообщается в отчете Trend Micro.

Группировка начала свою деятельность еще в 2015 году, но самое раннее упоминание о ней датируется сентябрем 2017 года и представляет собой жалобу на рассылаемый ею спам с предложением своих услуг.

Проплаченная реклама впервые стала появляться в 2018 году на русскоязычных форумах Darkmoney, Probiv, Tenec и Dublikat. Void Balaur предлагала своим клиентам доступ к бесплатным сервисам электронной почты, в том числе Gmail, Protonmail, Mail.ru и «Яндекс», к соцсетям («ВКонтакте»), Telegram и корпоративным почтовым аккаунтам.

В 2019 году группировка расширила спектр услуг и начала продавать персональные данные россиян (данные паспортов и сведения об авиаперелетах, снимки с дорожных камер видеонаблюдения, сведения о штрафах за нарушения ПДД и данные регистрации транспортного средства, данные регистрации оружия, история уголовных преступлений, кредитная история, сведения о балансе на счету в банке и данные об уплате налогов) по стартовой цене $21-124.

Затем группировка также стала предлагать своим клиентам данные от операторов связи, в частности телефонные номера, историю звонков и SMS, (с указанием или без указания местоположения базовой станции), картирование звонков, данные о местоположении устройства или SIM-карты, распечатки текстовых сообщений. Каким образом Void Balaur получала эту информацию, неизвестно. Одним из возможных объяснений является наличие у группировки «своих людей» в компаниях.

Помимо прочего, и у Trend Micro есть тому доказательства, Void Balaur атакует ключевые фигуры и главных инженеров в российских телекоммуникационных компаниях. На основе отчетов канадской некоммерческой организации eQualitie и Amnesty International исследователи также смогли связать группировку с атаками на активистов и журналистов в Узбекистане в 2016 году.

В сентябре 2020 года Void Balaur атаковала политиков в Беларуси. Ровно через год группировка нацелилась на «личные электронные адреса бывшего главы разведслужбы, пяти действующих министров (в том числе министра обороны) и двух бывших членов национального парламента восточно-европейской страны».

С сентября 2020-го по август 2021 года Void Balaur атаковала членов совета директоров, исполнительных директоров крупной российской корпорации и членов их семей.

По словам исследователей, они обнаружили возможную связь Void Balaur с нашумевшей APT-группой Fancy Bear.