Скриншот документа
Лаборатория Cyble в октябре обнаружила рассылку, в которой хакеры для заражения компьютеров использовали ZIP-архив военного назначения. В качестве приманки они использовали беларусский военный документ «ТЛГ на убытие на переподготовку.pdf».
В документе содержится приказ откомандировать военнослужащих для прохождения подготовки по управлению беспилотниками мультироторного типа в военной части, дислоцированной в Марьиной Горке.
Эксперты в области кибербезопасности из Cyble отметили сходство стратегии атаки с атакой Army+, которая имела место в декабре прошлого года, была направлена против Украины и была связана с Россией. Вместе с тем пока в Cyble не могут точно атрибутировать атаку.
«Учитывая источник и формулировки, на данном этапе неясно и маловероятно, что эта атака направлена против России или Беларуси. Основываясь на тактических схемах, перекрывающейся инфраструктуре и её развитии по сравнению с кампанией Army+ от декабря 2024 года, она демонстрирует постоянное совершенствование проверенных методов, используемых Sandworm. Постоянные атаки на военные подразделения также соответствуют этой кампании», — говорится в сообщении.
Seqrite также пишет про атаку SkyCloak. Ресурс приводит еще одно письмо, но уже адресованное российским военным — представление военнослужащих о назначении на новую должность и переводах.
«Судя по имеющимся данным, эта кампания, по-видимому, согласуется со шпионской деятельностью, связанной с Восточной Европой и направленной против оборонного и государственного секторов, хотя достоверность атрибуции по сравнению с ранее задокументированными операциями остаётся низкой», — говорится в публикации.