Онлайн-медіа “Бабель” заявило про хакерську атаку на свого редактора Гліба Гусєва. Про це видання повідомило на своєму сайті.
За даними редакції, вдень 18 червня на особисту електронну пошту Гусєва надійшов лист із поштової адреси james***[email protected], підписаний іменем Ігор Д****юк. Відправник писав, що отримав контакт від людини на імʼя Сергій С***р. Посилаючись на рекомендацію цього Сергія, він просив допомогти з поширенням інформації.
“Вже за вихідними даними листа було важко не запідозрити спробу фішингової атаки – особливо враховуючи, що Гліб Гусєв не знав людей із такими прізвищами”, – наголосила редакція.
Також там зазначили, що “інформація”, яку просили поширити, мала такий вигляд:
“Я піхотинець 2 штурмового батальйону *** ОШП. У нас в батальйоні командир щомісяця вимагає з усіх піхотинців віддавати 30% від бойових…”

Далі він описував скрутне становище підрозділу, писав, що йому “скинули скрини переписок, платіжки і всю цю брудну бухгалтерію”, і казав, що готовий “поділитися доказами”.
Підрозділ, на який посилався відправник, є одним з найвідоміших у складі штурмових військ ЗСУ. Цей підрозділ фігурував у резонансному матеріалі Гліба Гусєва двомісячної давності, який зібрав 130 тисяч переглядів.
У редакції наголошують: було зрозуміло, що атакувальна сторона обрала метод “соціальної інженерії”, вивчила роботу редактора “Бабеля” та сформувала атаку саме під профіль цілі. Наприкінці листа стояв лінк на зовнішній ресурс – теку на сервісі fex.net.
Редакція проаналізувала зміст шкідливого ПО в ізольованому середовищі. За лінком містився архів, в архіві – два “офісних” документи з програмами-макросами розміром 25 МБ та 27 МБ. Вони були “свіжі” – створені цього дня зранку.
“За допомогою криптографічного алгоритму ми отримали так звану хеш-суму файлів – тобто унікальний (для кожного файлу) рядок букв і цифр. Аналогічної “хеш-суми” не знайшлося у відкритій базі даних шкідливого програмного забезпечення. Це означало, що атакуючий скрипт, імовірно, є персоналізованим”, – зазначили в редакції.
Також команда вивчила код програм-макросів – тобто прочитали та проаналізували його, не запускаючи самі макроси. Виявилося, що файли належать до типу “дроперів”. Вони мали “розпакуватися” в окрему програму на компʼютері й запустити її у фоновому режимі. Програма мала непомітно спостерігати та збирати інформацію.
Про персоналізовану хакерську атаку редакція “Бабеля” повідомила CERT-UA. Це спеціальна “група швидкого реагування” на кіберзагрози, яка належить до Державної служби спеціального звʼязку та захисту інформації (ДССЗЗІ). Фахівці підтвердили шкідливість файлів та продовжують їхній аналіз.
У “Бабелі” обіцяють додати розгорнутий коментар CERT-UA у свою новину про атаку на Гусєва, коли його отримають.

За наявними в редакції “Бабеля” даними неможливо встановити автора атаки. Втім, у редакції нагадали про те, що напередодні нардеп Ярослав Железняк заявив, що “Бабель” не розкриває своїх справжніх власників. У відповідь співзасновниця та головна редакторка онлайн-медіа “Бабель” Катерина Коберник назвала це тиском на редакцію і спробою її, редакції, дискредитації.
У коментарі журналістці Інституту масової інформації Гліб Гусєв зазначив, що ця атака не є випадковою, адже зараз редакція працює над кількома матеріалами на чутливі теми й витік інформації може становити фізичну загрозу для героїв матеріалів.