Žoldnierska skupina Void Balaur operuje v kyberpriestore

Hackerská sieť Void Balaur pôsobiaca najmä v Ruskej federácii ponúka svoje online služby pre každého záujemcu. Jej služby zahŕňajú najmä prístup k účtom na sociálnych sieťach, k emailovym adresám alebo citlivým osobným informáciám.

Žoldnieri z Void Balaur operujú v kyberpriestore približne od roku 2017. Medzitým ich aktivity smerovali aj mimo Ruskej federácie a zasiahli väčšinu sveta. Objavil sa však náznak, že ani títo žoldnieri nie sú nezávislou skupinou, ale môžu byť prepojení so štátom.

Void Balaur čo sú zač?

Hackerská skupina alebo sieť Void Balaur sú žoldnieri pôsobiaci v kyberpriestore. Ich škála služieb je široká. Ponúkajú najmä zhromažďovanie súkromných údajov a prístup k špecifickým online emailovým službám a sociálnym sieťam. 

Názov Void Balaur dostala sieť v minuloročnom reporte od Trend Micro, americko-japonskej nadnárodnej softvérovej spoločnosti pre kybernetickú bezpečnosť. Balaur je v rumunskom folklóre mnohohlavý drak alebo had.

Autori reportu tento názov zvolili vzhľadom na spôsob fungovania tejto siete. Sieť nemá pevné zázemie, jej hackeri nie sú vždy občanmi Ruskej federácie a rozsah cieľov je veľmi široký. Metaforicky to teda predstavuje viacero hláv bájneho netvora.  

Aktivity skupiny boli prvýkrát priamo pozorované až v roku 2019, keď ich zaznamenala kanadská organizácia pre digitálne zabezpečenie eQualitie. Následne boli aktivity skupiny predmetom správy od Amnesty International v roku 2020. Najnovšie na niektoré aktivity upozornila Threat Analysis Group (TAG) fungujúca pod Google.           

Podľa reportu od Trend Micro pochádza jadro skupiny z Ruskej federácie. Hlavný oporný bod v ich výskume je rusky hovoriaca entita Rockethack, ktorá má stáť za vznikom siete.

Služby a ciele 

Void Balaur ponúkal na darkwebe zo začiatku služby hackerského tréningu. K tomu sa objavili ponuky na kompromitáciu účtov na platformách Yandex, Protonmail, Rambler.ru, Mail.ru, Gmail, UKR.net, Yahoo, Outlook, firemné a služobné emailové adresy, Instagram, VK.com, OK.ru, Facebook a Skype. Neskôr odstránili z ponuky Outlook, Facebook a UKR.net. 

Kompromitácia väčšiny sociálnych sietí a emailových služieb bola a je dostupná pre každého, kto je ochotný zaplatiť. Služby sú dostupné pre jednotlivcov, firmy či dokonca inštitúcie alebo štátne zložky. 

Neskôr začala skupina ponúkať na predaj citlivé osobné údaje, najmä občanov Ruskej federácie. Napríklad výpis z registra trestov bolo v roku 2019 možné zakúpiť za v prepočte 21 eur, daňové priznanie za 18 eur. Tieto informácie sa teda predávali za veľmi nízke ceny. 

Ciele skupiny však nepochádzajú len z Ruskej federácie, aj keď tvoria ich väčšinu. Častým cieľom boli v roku 2020 rôzne subjekty v Uzbekistane. Išlo prevažne o žurnalistov, aktivistov, mimovládne organizácie a politikov.

V tom istom roku boli cieľmi aj prezidentskí kandidáti v Bielorusku či rôzni politici a diplomati v Ruskej federácii, Arménsku alebo na Ukrajine. V roku 2021 to boli opäť politici, tentokrát však z Kazachstanu, Francúzska, Nórska a Talianska. 

Sieť vykonáva aj iné škodlivé aktivity. Phishingové, DDoS a ransomvérové útoky v porovnaní so zvyškom aktivít zasiahli veľkú časť sveta od USA až po Japonsko, Brazíliu, Austráliu a Čínu. Aktivity Void Balaur v týchto prípadoch neobišli dokonca ani Slovensko alebo Českú republiku. 

Náznak prepojenia s bezpečnostnými štruktúrami

Potenciálnym indikátorom spolupráce so štátom je nedávna nedbalosť skupiny pri tvorbe svojej infraštruktúry v kyberpriestore. Začiatkom roka 2022 bola jedna z ich domén registrovaná štyri dni na IP adresu, ktorá spadá pod Federálnu ochrannú službu (FSO), ktorá je poverená ochranou najvyšších predstaviteľov Ruskej federácie.

Následne však došlo k zmene. Podľa komunity výskumníkov SentinelLabs je táto situácia buď náhoda a chyba v procese tvorby alebo to indikuje neurčený druh spolupráce siete so štátnou službou. 

Na základe dostupných informácií nie je možné s istotou tvrdiť, že existuje priame prepojenie skupiny so štátom. Nateraz sieť Void Balaur vyzerá naozaj ako žoldnierska skupina operujúca v kyberpriestore. Nie je však vylúčené, že sa v  budúcnosti neobjavia nové informácie podporujúce hypotézu o prepojení.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Absolvent medzinárodný vzťahov a európskych štúdií. Zaujíma sa prevažne o politické a bezpečnostné dianie mimo Európskej únie, v regiónoch strednej či východnej Ázie, ale aj amerického kontinentu. Kontakt: richard.straka@infosecurity.sk