Кібербезпекова спільнота зафіксувала активність нового, ймовірно, російського хакерського угруповання, що отримало назву GreyVibe. Ця група спеціалізується на цілеспрямованих атаках проти українських організацій. Відмінною рисою їхньої діяльності є інноваційний підхід до соціальної інженерії: GreyVibe використовує інструменти генеративного штучного інтелекту, зокрема ChatGPT та Gemini, для створення високоякісних та переконливих приманок. Крім того, зловмисники застосовують широкий спектр власно розробленого шкідливого програмного забезпечення для досягнення своїх цілей.
Використання генеративного ШІ є ключовим елементом стратегії GreyVibe. Завдяки ChatGPT та Gemini, хакери можуть створювати фішингові листи, повідомлення та документи, які є граматично бездоганними, контекстуально релевантними та важкими для виявлення традиційними засобами. Це значно підвищує шанси на успішне введення в оману цільових користувачів. Після успішного проникнення в систему, GreyVibe розгортає набір спеціалізованих шкідливих інструментів. Ці інструменти можуть включати:
- Бекдори для віддаленого доступу.
- Засоби для збору конфіденційної інформації.
- Модулі для шпигунства та моніторингу активності.
- Інструменти для обходу систем безпеки.
Такий підхід свідчить про високий рівень підготовки та технічної оснащеності угруповання.
Основними цілями угруповання GreyVibe є українські державні установи, організації критичної інфраструктури та приватні компанії, що працюють на території України або мають стратегічне значення. Загроза є прямою та високою, оскільки атаки спрямовані на компрометацію важливих даних, порушення операційної діяльності та отримання несанкціонованого доступу до мережевих ресурсів. Будь-яка організація, що є об'єктом інтересу для російських спецслужб або має зв'язки з Україною, повинна бути особливо пильною.
Для мінімізації ризиків від атак GreyVibe та подібних угруповань, українським організаціям рекомендується:
- Посилення обізнаності персоналу: Проведення регулярних тренінгів щодо розпізнавання фішингових атак, особливо тих, що використовують складні ШІ-генеровані приманки.
- Впровадження багатофакторної автентифікації (MFA): Запровадження MFA для всіх облікових записів, особливо для доступу до критичних систем.
- Регулярне оновлення програмного забезпечення: Своєчасне встановлення оновлень безпеки для операційних систем, програмного забезпечення та антивірусних рішень.
- Використання сучасних систем захисту кінцевих точок: Впровадження рішень EDR/XDR для виявлення та реагування на підозрілу активність.
- Активний моніторинг та аналіз загроз: Відстеження нових тактик, технік та процедур (TTPs) кіберзлочинців та інтеграція цих даних у власні системи захисту.
- Регулярне резервне копіювання даних: Створення та перевірка резервних копій критично важливої інформації з можливістю швидкого відновлення.