Онлайн-медіа “Бабель” заявило про хакерську атаку на свого редактора Гліба Гусєва. Про це видання повідомило на своєму сайті.
За даними редакції, вдень 18 червня на особисту електронну пошту Гусєва надійшов лист з поштової адреси james***[email protected], підписаний іменем Ігор Д****юк. Відправник писав, що отримав контакт від людини на імʼя Сергій С***р. Посилаючись на рекомендацію цього Сергія, він просив допомогти з розповсюдженням інформації.
“Вже за вихідними даними листа було важко не запідозрити спробу фішингової атаки – особливо, враховуючи, що Гліб Гусєв не знав людей із такими прізвищами”, – наголосила редакція.
Також там зазначили, що “інформація”, яку просили розповсюдити, виглядала так:
“Я піхотинець 2 штурмового батальйону *** ОШП. У нас в батальйоні командир щомісяця вимагає з усіх піхотинців віддавати 30% відсотків від бойових…”.
Далі він описував скрутне становище підрозділу, писав, що йому “скинули скрини переписок, платіжки і всю цю брудну бухгалтерію”, і казав, що готовий “поділитися доказами”.
Підрозділ, на який посилався відправник, є одним з найбільш відомих у складі штурмових військ ЗСУ. Цей підрозділ фігурував у резонансному матеріалі Гліба Гусєва двомісячної давнини, який зібрав 130 тисяч переглядів.
В редакції наголошують, що було було зрозуміло, що атакуюча сторона обрала метод “соціальної інженерії”, вивчила роботу редактора “Бабеля” та сформувала атаку саме під профіль цілі. У кінці листа стояв лінк на зовнішній ресурс – папку на сервісі fex.net.
Редакція проаналізувала зміст шкідливого ПО в ізольованому середовищі. За лінком знаходився архів, в архіві – два “офісних” документи з програмами-макросами розміром 25 МБ та 27 МБ. Вони були “свіжі” – створені в цей день зранку.
“За допомогою криптографічного алгоритму ми отримали так звану “хеш-суму” файлів – тобто унікальний (для кожного файлу) рядок букв і цифр. Аналогічної “хеш-суми” не знайшлося у відкритій базі даних шкідливого програмного забезпечення. Це означало, що атакуючий скрипт, імовірно, є персоналізованим”, – зазначили в редакції.
Також команда вивчила код програм-макросів – тобто прочитали та проаналізували його, не запускаючи самі макроси. Виявилося, що файли належать до типу “дроперів”. Вони мали “розпакуватися” в окрему програму на компʼютері і запустити її в фоновому режимі. Програма мала непомітно спостерігати та збирати інформацію.
Про персоналізовану хакерську атаку редакція “Бабеля” повідомила CERT-UA. Це спеціальна “група швидкого реагування” на кіберзагрози, яка належить до Державної служби спеціального звʼязку та захисту інформації (ДССЗЗІ). Фахівці підтвердили шкідливість файлів та продовжують їх аналіз.
В “Бабелі” обіцяють додати розгорнутий коментар CERT-UA в свою новину про атаку на Гусєва, коли його отримають.
За наявними у редакції “Бабеля” даними неможливо встановити автора атаки. Втім, в редакції нагадали про те, що напередодні нардеп Ярослав Железняк заявив, що Бабель не розкриває своїх справжніх власників. У відповідь співзасновниця та головна редакторка онлайн-медіа “Бабель” Катерина Коберник назвала це тиском на редакцію і спробою її, редакції, дискредитації.
В коментарі журналістці Інститут масової інформації Гліб Гусєв зазначив, що ця атака не є випадковою, адже зараз редакція працює над кількома матеріалами на чутливі теми і витік інформації зараз може становити фізичну загрозу для героїв матеріалів.
