Інститут масової інформації отримав фішингові листи від хакерів, пов’язаних зі спецслужбами РФ

Інститут масової інформації (ІМІ) отримав кілька фішингових листів нібито від бухгалтерів на пошту громадської організації 8 квітня. Листи надіслало хакерське угруповання UAC-0050, пов’язане зі спецслужбами РФ, підтвердили представниці  Інституту масової інформації Лесі Луцюк в Урядовій команді реагування на комп’ютерні надзвичайні події України CERT-UA. 

Фішинг здійснювався із зазначенням назви громадської організації в темах листів, чим відрізняв їх від схожих листів, які раніше надсилали ІМІ. До них прикріпили посилання на zip-документ, який містить шкідливі файли. Листи надіслали з різних адрес, ймовірно згенерованих програмою: yoneda@y-s-corp.co.jp, info@gizmoheroes.com. 

Кілька листів, які надіслали команді ІМІ, мають ідентичний зміст і структуру, особливий акцент відправники зробили саме на терміновості. Листи відправили один за одним, з різницею в кілька хвилин. Обидва листи підписано “головними бухгалтерами”, які нібито звертаються до бухгалтерії ІМІ з вимогою підписати документи та надіслати копії. 

Як розповіли ІМІ в “Лабораторії цифрової безпеки” (“Цифролаба”), мета такого розсилання – встановити на компʼютер жертви шкідливу програму, яка шпигуватиме і викрадатиме дані з операційної системи Windows на компʼютері. 

Спеціалісти “Цифролаби” пояснили, що хакери надіслали архіви, в яких є запаролені документи та шкідливий файл “Пароль.js”. Якщо на компʼютері з операційною системою Windows його запустити – непомітно встановиться програма Remote Utilities, яка зможе робити скриншоти, записи мікрофона, камери, викрадати паролі, документи тощо.

“Росіяни прицільно стежать та шукають уразливі місця, щоб отримати доступ до журналістів та активістів. Якщо раніше вони писали російською або міксом мов, то зараз удосконалюють листи українською та зазначають якісь деталі, щоб створити враження оригінальності листа. Втім, у всіх цих листах залишається один стиль: заклик до терміновості та наявність “документа”, який необхідно завантажити з іншого сервісу. Вони сподіваються, що українці в поспіху завантажать документ і відтак росіяни отримають доступ до акаунту або віддалене спостереження за девайсами”, – розповіла медіаекспертка Інституту масової інформації Яна Машкова. 

На початку 2025 року в “Цифролабі” писали про хвилю фінансових фішингів з боку російських хакерських угруповань, які, ймовірно, таргетовані на бухгалтерів, керівників організацій та ФОПів з метою встановлення шкідливих програм для віддаленого доступу.

Також раніше ІМІ писав, що українські інформаційні системи атакують угруповання хакерів, які працюють у підрозділах російських спецслужб, зокрема на Росію почали працювати й деякі приватні хакерські угруповання.

Нагадаємо, у перший рік повномасштабного вторгнення на сайт ІМІ вчинялася потужна кібератака. Невідомі намагалися зупинити роботу сайту ІМІ через форму підписки на листи. У 2023 році сайт знову зазнав DDoS-атаки й не працював понад годину. ІМІ пов'язує ці атаки з професійною діяльністю через документацію злочинів росіян проти медіа та журналістів.

Додамо, що за три роки та один місяць з початку повномасштабного вторгнення Росія скоїла 102 кіберзлочини проти медіа та журналістів. Також у межах проєкту Інститут масової інформації Jmama дізнавайтеся більше про цифрові загрози та протидію їм у розділі “Кібербезпека”.