Основной деятельностью Void Balaur был взлом на заказ бесплатной веб-почты, социальных сетей и корпоративных почтовых ящиков. Копии содержимого почтовых ящиков некоторых российских почтовых провайдеров хакеры предоставляли даже без какого-либо взаимодействия с пользователем.
Начиная с 2019 года Void Balaur расширила ассортимент услуг и кроме взлома стала предлагать конфиденциальные данные частных лиц из России, например:
российские внутренние и загранпаспорта, свидетельства о браке;
информацию о приобретённых билетах, для которых требуются паспортные данные (авиа- и железнодорожные);
данные пассажиров, прибывающих в российские аэропорты;
снимки камер безопасности и автоматических систем фиксации нарушений;
регистрационные данные автомобилей и оружия;
сведения о налогах граждан из ФНС;
остатки на банковских счетах, номера телефонов, привязанные к счетам;
распечатки SMS и звонков нужного абонента, а также данные о его перемещениях.
Кого взламывают
В ходе нашего исследования нам удалось собрать значительный объём информации о кампаниях Void Balaur. Мы нашли более 3500 адресов электронной почты частных лиц и компаний, которые подверглись атакам группы.
Хакеры не раскрывают заказчиков, но своими целями открыто делятся. В этом списке присутствуют:
правозащитники и журналисты Узбекистана;
бывший глава разведывательной организации;
пять действующих министров правительств, включая министра обороны и двух членов парламента одной из стран Восточной Европы;
кандидат в президенты на выборах 2020 года в Беларуси;
политики и чиновники Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии.
Некоторые из этих атак были частью более масштабных кампаний и не ограничивались атаками только через Интернет. В результате часть людей, ставших мишенями, была вынуждена покинуть свои страны.
Некоторые фишинговые атаки Void Balaur, которые, на первый взгляд, имеют финансовый мотив, на самом деле также могут быть связаны с более масштабными кампаниями. Например, группа в течение нескольких лет проводила операции против одной криптовалютной биржи, атакуя её клиентов и руководителей компании через их корпоративные и личные адреса электронной почты. Сайт компании регулярно становился жертвой DDoS- и хакерских атак, а один из ее сотрудников даже был похищен с целью получения выкупа.