Аналітики московської компанії з кібербезпеки Kaspersky оприлюднили звіт, в якому вказують на можливу координацію між двома відомими проукраїнськими хактивістськими угрупованнями: BO Team та Head Mare. Згідно з їхніми висновками, ці групи, які активно здійснюють кібератаки проти російських об'єктів, використовують спільні ресурси, що може свідчити про неформальне або навіть пряме об'єднання зусиль. Це відкриття підкреслює зростаючу складність та еволюцію хактивістського руху в умовах поточної геополітичної напруженості.
Ключовим доказом, що вказує на співпрацю між BO Team та Head Mare, стало виявлення Kaspersky перехресної інфраструктури та інструментів, які використовуються обома групами. Зокрема, дослідники ідентифікували системи управління та контролю (C2), що функціонували на одному й тому ж скомпрометованому хості. Це означає, що обидва угруповання використовували одні й ті ж сервери для віддаленого управління своїми шкідливими операціями. Такий рівень спільного використання ресурсів є нетиповим для незалежних груп і переконливо вказує на певний ступінь координації або навіть спільне використання ресурсів та експертизи.
Виявлення координації між хактивістськими групами, такими як BO Team та Head Mare, має значні наслідки для розуміння сучасного кібербезпекового ландшафту. По-перше, це ускладнює процеси атрибуції, оскільки дії однієї групи можуть бути помилково приписані іншій або ж навпаки. По-друге, спільні операції можуть підвищити ефективність атак та стійкість груп до виявлення. Для українських фахівців з кібербезпеки це є важливим нагадуванням про необхідність постійного моніторингу та аналізу тактик, технік та процедур (TTPs) усіх акторів у кіберпросторі, незалежно від їхньої політичної орієнтації, щоб краще розуміти загальну картину загроз та потенційні вектори атак.
В умовах зростаючої складності кіберконфлікту та еволюції хактивістських груп, організаціям та установам критично важливо посилити свої заходи кіберзахисту:
- Постійний моніторинг мереж: Впровадження систем виявлення вторгнень (IDS) та запобігання вторгненням (IPS) для раннього виявлення підозрілої активності.
- Оновлення програмного забезпечення: Регулярне оновлення операційних систем, програмного забезпечення та антивірусних баз для усунення відомих вразливостей.
- Управління доступом: Застосування принципу найменших привілеїв та багатофакторної автентифікації (MFA) для всіх облікових записів.
- Резервне копіювання даних: Регулярне створення резервних копій критично важливих даних та їх зберігання на ізольованих носіях.
- Обмін інформацією про загрози: Активна участь в обміні інформацією про кіберзагрози з відповідними державними органами (наприклад, CERT-UA) та галузевими партнерами.