A Fancy Bear olyan védelmi vállalatokat vett célba, amelyek fegyvereket szállítanak Ukrajnának – írta a szlovák Eset biztonsági cég friss tanulmánya, illetve a német Spiegel című lap cikke alapján az Euronews. A hosszú évek óta létező, a Kreml irányítása alá tartozó, hírhedt hackercsoport támadásai elsősorban a szovjet típusú fegyvertechnológia bulgáriai, romániai és ukrajnai gyártói ellen irányultak, amelyek kulcsszerepet játszanak az orosz invázió elleni védekezésben. A kibertámadások afrikai és dél-amerikai védelmi vállalatokat is érintettek.

Az "Operation RoundPress" elnevezésű kémkedési kampányban a hackerek a népszerű webmail szoftverek, köztük a Roundcube, a Zimbra, a Horde és az MDaemon programok sebezhetőségeit használták ki. Számos sebezhetőséget jó szoftverkarbantartással ki lehetett volna küszöbölni – jegyzi meg a német lap. Egy esetben azonban az érintett cégek gyakorlatilag tehetetlenek voltak, mert a támadók az MDaemon egy korábban ismeretlen sebezhetőségét tudták kihasználni, amelyet kezdetben nem lehetett lezárni.

Az Eset kutatóinak megállapításai szerint a támadásokat általában híreknek álcázott, manipulált e-mailekkel indították. Feladóként olyan látszólag jó hírű forrásokat használtak, mint a Kyiv Post vagy a News.bg bolgár hírportál. A spamszűrőket a folyamat során megkerülik. A legveszélyesebb, hogy

abban a pillanatban, amint az e-mailt megnyitják a böngészőben, elindul egy rejtett kártevő program.