Поделиться
Разбор полетов BO Team: в 2026 г. группировка переключилась на производство и нефтегазовый сектор России
В 2026 г. группа хакеров BO Team сместила фокус на другие отрасли и начала отходить от показательных деструктивных атак в пользу более скрытых операций, включая кибершпионаж, сообщается в новом отчете «Лаборатории Касперского». Это подтверждает, что хактивисты становятся все более серьезной угрозой для российских организаций. Об этом CNews сообщили представители «Лаборатории Касперского».
При изучении новой активности BO Team исследователям удалось получить доступ к исходному коду ее «фирменного» бэкдора ZeronetKit, который часто используется в кибератаках на компании России, обнаружить ранее неизвестные вредоносные инструменты и признаки кооперации с другой группировкой, Head Mare.
Кибератаки BO Team в 2026 г. По данным портала киберразведки Kaspersky Threat Intelligence Portal, с начала 2026 г. злоумышленники интересуются уже не медицинскими учреждениями, а производством, нефтегазовым сектором и телеком-индустрией. Только за первый квартал насчитывается около двадцати кибератак, в том числе на эти отрасли. BO Team по-прежнему получает доступ через целевой фишинг, а для заражения использует уже известные бэкдоры BrockenDoor и ZeronetKit, а также новый ZeroSSH. Анализ показал, что инструменты группировки заметно эволюционировали и все чаще адаптируются под конкретную цель.
Бэкдор ZeronetKit изнутри. Исследователи получили доступ к исходному коду одного из ключевых инструментов BO Team — бэкдора ZeronetKit. Это позволило изучить не только его функциональность и поведение в атаке, но и лучше понять внутреннее устройство: архитектуру, логику работы и основные механизмы управления зараженными системами.
Кооперация с Head Mare. В ходе исследования были обнаружены признаки возможной кооперации BO Team с другой группировкой — Head Mare. Характер их взаимодействия остается неясным, однако пересечения инструментов и инфраструктуры указывают как минимум на координацию атак против российских организаций. Один из предполагаемых сценариев — многоступенчатая операция, в которой злоумышленники задействованы на разных этапах. Так, Head Mare могла отвечать за начальный вектор — например, через фишинговые рассылки. После чего BO Team использовала полученный доступ для внедрения бэкдоров и дальнейшего развития атаки.
«Мы отслеживаем активность BO Team более полутора лет. За относительно короткий срок — менее чем за год — злоумышленники существенно усилили арсенал новыми кастомными инструментами. Более того, если ранее не было достаточных подтверждений их взаимодействия с другими группировками, то новые данные о связях с Head Mare с высокой долей вероятности указывают на наличие такой кооперации. Все это в совокупности с изменением характера кибератак подтверждает, что BO Team остается серьезной угрозой на российском ландшафте», — сказали исследователи.
Эксперты «Лаборатории Касперского» продолжают отслеживать активность BO Team и для защиты от этой киберугрозы рекомендуют организациям: предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников; применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности; обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги.
Поделиться
Короткая ссылка
