Trend Micro опублікувала 46-сторінковий звіт, що розповідає про діяльність групи найманих хакерів Void Balaur, яка з 2017 року рекламувала свої послуги на російськомовних підпільних форумах, таких як Probiv, Tenec та Darkmoney.
Спочатку, перелік послуг групи обмежувався зломом електронної пошти та облікових записів соцмереж. За даними Trend Micro, за останні роки Void Balaur скомпрометувала понад 3500 адрес e-mail.
Дослідникам важко сказати як саме відбувався витік даних замовлених клієнтів, серед можливих сценаріїв вони називають підкуп інсайдерів, злом провайдера послуг e-mail або представників правоохоронних органів, що має законне право на перлюстрування електронної кореспонденції.
У 2019 році Void Balaur розпочала торгівлю конфіденційними даними фізичних осіб з Росії, включаючи дані паспортів, водійських прав, особисті телефонні записи із зазначенням розташування вишок стільникового зв’язку та багато іншого. І знову дослідники Trend Micro не змогли встановити, звідки група мала доступ до такої кількості інформації.
Void Balaur також пропонує послугу блокування телефонних номерів, яка може допомогти у скоєнні серйозних злочинів.
Комерційні пропозиції групи поширюються і окремих індивідуумів. Серія нападів на журналістів та правозахисників в Узбекистані у 2016 та 2017 роках, на кандидатів у президенти Білорусі на виборах 2020 року, на політиків та урядовців в Україні, Словаччині, Росії, Казахстані, Вірменії, Норвегії, Франції та Італії у серпні 2021 все це була робота Void Balaur. На початку осені група намагалася зламати пошту «колишнього глави розвідки, п’яти чинних міністрів уряду (включно з міністром оборони) та двома членами національного парламенту однієї зі східноєвропейських країн».
Майже рік, з вересня 2020 року до серпня 2021 року, група вела кампанію проти одного з найбільших конгломератів у Росії. Атакам зазнавали члени правління, директори і навіть члени сім’ї власника компанії, відомого російського мільярдера.
Найчастіше об’єктами розробки Void Balaur стають компанії, які мають доступ до великої кількості конфіденційних даних. Це провайдери телекомунікацій, постачальники обладнання для стільникового зв’язку, банкоматів та торгових терміналів, банки та фінансові компанії, оператори бізнес-авіації, організації медичного страхування у трьох регіонах Росії, клініки штучного запліднення, біотехнологічні фірми, що надають послуги генетичного тестування. З 2018 року Void Balaur також управляє кількома фішинговими сайтами, які, схоже, націлені на користувачів криптовалют.
Таймінг атак (сім днів на тиждень з 6 ранку до 7 вечора за Грінвічем), поряд із довгою історією реклами на російськомовних форумах, досить явно вказує, що група діє з територій колишніх радянських республік.
За рамками досить детального звіту Trend Micro залишилася низка важливих питань, наприклад, про можливі зв’язки групи з російською владою. Відповіді на них належить знайти наступним дослідникам.
Джерело «KO.com.ua»