Хакеры россии взломали 10 000 камер для шпионажа за поставками в Украину

Британская The Guardian сообщила о крупной кибератаке, за которой стоит российское ГРУ, а именно подразделение 26165 — более известное как APT28 или Fancy Bear. Согласно данным британского Национального центра кибербезопасности (NCSC) и союзников, хакеры получили однократный доступ к изображениям с 10 000 камер видеонаблюдения, установленных на пограничных переходах, железнодорожных узлах и военных объектах в Украине, а также Польше, Румынии, Словакии и Венгрии.

Что произошло

Хакеры использовали камеры для разовой фиксации обстановки — получали «снимки момента», а не постоянную трансляцию. Тем не менее, этого оказалось достаточно для анализа маршрутов поставок вооружения и гуманитарной помощи в Украину.

Вот как распределялись точки доступа:

• 80% камер — в Украине (~8000 устройств)
• 10% — в Румынии (~1000)
• 4% — в Польше (~400)
• 2,8% — в Венгрии (~280)
• 1,7% — в Словакии (~170)
• ~150 камер — география не установлена

APT28 уже фигурировала в расследованиях о взломе серверов Демократической партии США в 2016 году, а также в утечке данных Всемирного антидопингового агентства. Но нынешняя операция — одна из самых широкомасштабных и технически сложных, направленных на тылы поддержки Украины.

Методы атаки

Камеры — лишь часть схемы. В операции также использовались:

• фишинговые письма с сомнительным контентом (в том числе для взрослых)
• поддельные профили госслужащих
• голосовые звонки с имитацией официальных лиц
• попытки похитить логистические документы: манифесты, графики движения поездов и маршруты поставок

США, Великобритания, Германия и Франция выпустили совместное заявление, осуждающее действия России и призывающее усилить киберзащиту критической инфраструктуры. Представитель NCSC Пол Чичестер заявил, что действия APT28 «представляют серьёзную угрозу» для организаций, оказывающих помощь Украине.

Эксперты по кибербезопасности рекомендуют следующие меры:

• включение многофакторной аутентификации
• сегментация сетей видеонаблюдения
• обновление прошивок IP-камер
• блокировка VPN-доступа с неизвестных адресов
• мониторинг запросов через RTSP (протокол потоковой передачи видео)

Особое внимание стоит уделить защите протокола RTSP, который часто используется в IP-камерах и позволяет удалённо управлять потоками — именно через него могла осуществляться фиксация снимков.

Атака подтверждает, что кибервойна остаётся важнейшим инструментом давления со стороны РФ. На этот раз её целью стали не боевые подразделения, а логистика — жизненно важный канал, от которого зависит устойчивость обороны Украины.