Националният център за киберсигурност на Обединеното кралство (NCSC) официално приписа нова кампания за кибершпионаж, наречена Authentic Antics, на добре познатата руска хакерска група APT28, известна още като Fancy Bear. Групата се свързва с военното разузнаване на Русия (ГРУ).

Софтуерът Authentic Antics е използван през 2023 г. и се вгражда в процеса на Microsoft Outlook, като генерира фалшиви екрани за вход с цел кражба на идентификационни данни и OAuth 2.0 токени, които дават достъп до електронната поща на жертвата. След това събраната информация се изпраща чрез самия Outlook профил на жертвата към електронна поща, контролирана от атакуващите, като се избягва съхраняване в папката „Изпратени“.

Техническият анализ на NCSC подчертава високата сложност и прикритост на зловредния код: липса на комуникация със C2 сървър, минимално присъствие на диска и използване на легитимни услуги за предаване на информация. Също така, информацията се съхранява в специфични регистри на Outlook, което значително затруднява откриването му.

В отговор на атаките, британското правителство обяви санкции срещу три поделения на ГРУ (26165, 29155 и 74455), както и срещу 18 руски граждани, за участието им в подобни операции, включително и в разгръщането на Authentic Antics.

Официални лица от Великобритания подчертаха, че тези действия са част от по-широка руска стратегия за дестабилизация на Европа и заплаха за сигурността на британски граждани. NCSC от своя страна изрази решимостта си да продължи да разкрива и санкционира подобни зловредни действия.

Случаят подчертава все по-голямата технологична зрялост на руските кибероперации, които вече разчитат на прикрити методи и липса на традиционна комуникационна инфраструктура, правейки ги значително по-трудни за засичане и анализ.