Oroszország elleni ukrán hacktivista csoport – Black Owl
A Kaspersky jelentése szerint egy kevéssé ismert kiberszereplő komoly fenyegetést jelent az orosz állami intézményekre és kritikus infrastruktúrákra olyan kibertevékenységek révén, amelyek célja zavarok okozása és pénzügyi haszonszerzés. A BO Team, más néven Black Owl 2024 eleje óta aktív, és úgy tűnik, hogy önállóan működik, saját eszköz- és taktikai arzenállal – áll a Kaspersky jelentésében.
A csoport legzavaróbb műveletei közé tartozik egy múlt havi kibertámadás, amely a jelentések szerint az orosz nemzeti elektronikus bírósági iktatási rendszer mintegy harmadát tette tönkre. Az ukrán katonai hírszerzés (HUR) korábban azt mondta, hogy több műveletben is együttműködött a BO Team-mel, többek között az orosz szövetségi digitális aláírási hatóság és egy tudományos kutatóközpont elleni támadásokban.
A csoport jellemzően meggyőző, rosszindulatú csatolmányokat tartalmazó adathalász e-mailekkel szerez kezdeti hozzáférést az áldozatok rendszereihez. A BO Team heteket vagy akár hónapokat is várhat, mielőtt akcióba lép – ez szokatlan késedelem a hacktivisták körében, akiknek jellemzően az adatok gyors megsemmisítése vagy megszerzése a céljuk. A csoport fejlődő eszközkészlete a DarkGate, a BrockenDoor és a Remcos backdoor-okat tartalmazza.
A megcélzott rendszer kompromittálása után a BO Team törli a biztonsági mentéseket és a virtuális infrastruktúrát olyan eszközökkel, mint a Microsoft SDelete, és egyes esetekben a Babuk ransomware-t telepíti az áldozat rendszerére. A csoport a használt eszközöket legitim Windows-szoftvereknek álcázza. Műveleteik részeként a támadók olyan neveket adnak a rosszindulatú komponenseknek, amelyek hasonlítanak a jól ismert system vagy futtatható fájlokhoz.
A BO Team kizárólag oroszországi szervezeteket vett célba, köztük állami vállalatokat, valamint a technológiai, távközlési és gyártási szektorban működő szervezeteket. A hackerek gyakran posztolnak támadásaikról a Telegramon az áldozatok megfélemlítése és a média figyelmének felkeltése érdekében.
„A Kaspersky szerint a BO Team más ukránbarát hacktivista csoportokkal ellentétben kevés jelét mutatja a koordinációnak, az együttműködésnek vagy a másokkal való eszközmegosztásnak – ez különbözteti meg a jelenlegi hacktivista csoportoktól.
