Російська кібершпигунська група Sednit знову атакувала українських військовослужбовців
Компанія ESET попереджає про відновлення активності групи кіберзлочинців Sednit. Зокрема з квітня 2024 року вона використовує нові шкідливі інструменти BeardShell і Covenant для здійснення довгострокового шпигування за українськими військовими. У 2016 році Міністерство юстиції США пов’язало групу Sednit з підрозділом 26165 ГРУ, органу управління військовою розвідкою росії в складі головного розвідувального управління російських збройних сил.
Нова фаза активності Sednit почалася з виявлення CERT-UA шпигунського інструменту SlimAgent у квітні 2024 року на комп’ютері українського уряду. Цей простий, але ефективний шпигунський інструмент може відстежувати натискання клавіш, робити знімки екрана та збирати дані з буфера обміну. У своїй телеметрії дослідники ESET виявили раніше невідомі зразки з кодом, схожим на SlimAgent, які були використані ще в 2018 році (за шість років до випадку в Україні) проти урядових установ у двох європейських країнах. Таким чином цей новий інструмент, ймовірно, є більш вдосконаленою версією модуля програми для зчитування натискань клавіатури Xagent, який використовується як незалежний компонент принаймні з 2018 року. Xagent – це набір інструментів, який вже більше шести років використовується виключно групою Sednit.
Окрім SlimAgent, новий та більш складний інструмент, BeardShell, також був зафіксований на українській робочій станції в 2024 році. Він здатний виконувати команди PowerShell у середовищі виконання .NET, використовуючи офіційний хмарний сервіс Icedrive як командний сервер (C&C). Одночасне використання рідкісної техніки обфускації в поєднанні із SlimAgent дало спеціалістам ESET підстави з високою впевненістю стверджувати, що BeardShell є частиною інструментарію Sednit.
Із моменту першого інциденту у 2024 році ця шпигунська група продовжувала застосовувати BeardShell протягом 2025 та 2026 років для довгострокових шпигунських операцій, спрямованих на військовослужбовців України. Щоб забезпечувати постійний доступ до цих важливих цілей, Sednit систематично використовувала разом із BeardShell ще один інструмент: Covenant, фінальний компонент свого сучасного інструментарію з відкритим вихідним кодом .NET. Він містить понад 90 вбудованих завдань, забезпечуючи такий функціонал, як перехоплення даних, моніторинг цільових систем і несанкціоноване переміщення даних мережею через скомпрометовані вузли (pivoting). Крім поєднання інструментів, група також використовувала легітимні хмарні сервіси для закріплення в системі.
Із 2023 року розробники Sednit внесли ряд модифікацій з Covenant, щоб зробити його своїм основним шпигунським інструментом, залишаючи BeardShell як запасний варіант на випадок технічних проблем у Covenant, такими як виведення з ладу його хмарної інфраструктури. Sednit використовує Covenant для атак вибраних цілей в Україні вже кілька років. Наприклад, у 2025 році аналіз ESET хмарних дисків Covenant, контрольованих Sednit, виявив робочі станції, які відстежувалися протягом більше шести місяців. У січні 2026 року Sednit також застосував Covenant у серії операцій з цілеспрямованим фішингом, використовуючи уразливість CVE 2026 21509, як повідомила CERT-UA.
Складність BeardShell і численні модифікації Covenant свідчать про те, що розробники Sednit як і раніше здатні створювати сучасні інструменти на замовлення. Крім того, спільний код і прийоми, що пов’язують ці інструменти з їхніми попередниками 2010-х років, вказують на незмінність складу команди розробників.
Нещодавно ми писали, що месенджер Signal опинився під атакою кіберзлочинців.
