Google викрила нове російське шпигунське ПЗ під назвою LostKeys

Михайло Года

Основні тези

Google викрила нове російське шпигунське ПЗ LostKeys, яке використовується хакерським угрупованням COLDRIVER для атак на західні уряди і організації.
LostKeys розроблена на основі VBS, орієнтована на викрадення даних, і поширюється через атаки "ClickFix" з використанням соціальної інженерії.
Хакери активізувалися після вторгнення Росії в Україну, розширивши цілі до оборонних і енергетичних об'єктів США, що призвело до санкцій і винагороди за інформацію від США.

Google викрила нове російське шпигунське ПЗ під назвою LostKeys - Техно

Російське хакерське угруповання COLDRIVER, пов'язане з ФСБ, використовує нове шпигунське програмне забезпечення LostKeys для кібератак на західні уряди, журналістів та неурядові організації. Google попереджає про зростання загрози.

Компанія Google викрила нове шпигунське програмне забезпечення під назвою LostKeys, яке активно використовується російським хакерським угрупованням COLDRIVER з початку 2025 року, інформує 24 Канал.

Дивіться також Хакери "Кібер АТЕШ" атакували важливий ресурс окупантів у Криму

За даними групи Google Threat Intelligence Group (GTIG), ця кіберзагроза націлена на урядові установи західних країн, журналістів, аналітичні центри та неурядові організації.

Що відомо про LostKeys та COLDRIVER?

Хакерське угруповання COLDRIVER, також відоме як Star Blizzard та Callisto Group, діє щонайменше з 2017 року. Його пов'язують з Федеральною службою безпеки Росії (ФСБ). У грудні минулого року Великобританія разом із союзниками по розвідувальному альянсу "П'ять очей" визнали COLDRIVER відповідальними за численні кібератаки.

За даними GTIG, нова шкідлива програма LostKeys поширюється через цільові атаки типу "ClickFix". Ці атаки передбачають використання методів соціальної інженерії для обману користувачів та запуску шкідливих PowerShell-скриптів.

Після активації скрипти завантажують додаткові шкідливі модулі, що зрештою встановлюють LostKeys.

Як працює LostKeys?

LostKeys розроблена на основі Visual Basic Script (VBS) та орієнтована на викрадення даних. За словами Google, це програмне забезпечення діє як своєрідний "цифровий пилосос", що збирає інформацію з певних файлів та директорій, передає системні дані та запускає процеси на віддалених серверах зловмисників.

COLDRIVER використовує LostKeys для викрадення облікових даних з метою доступу до електронної пошти та контактів жертв. Відомо також про використання іншого шкідливого ПЗ під назвою SPICA, призначеного для збирання документів і файлів.

За даними GTIG, LostKeys є більш вузькоспеціалізованим інструментом, який застосовується лише у "високоселективних випадках".

Масштаби та реакція міжнародної спільноти

COLDRIVER значно активізувався після вторгнення Росії в Україну, розширивши свої цілі до оборонно-промислових об'єктів та об'єктів Міністерства енергетики США. Міністерство закордонних справ США навіть запровадило санкції проти кількох учасників угруповання, серед яких і офіцер ФСБ. Ба більше, США оголосили винагороду у 10 мільйонів доларів за інформацію, яка допоможе затримати інших членів групи.

Примітно, що COLDRIVER не єдине угруповання, яке використовує тактику ClickFix. Подібні методи в останніх шпигунських кампаніях застосовують і хакери з Північної Кореї (Kimsuky), Ірану (MuddyWater) та інші російські групи (APT28, UNK_RemoteRogue).

Google попереджає, що виявлення LostKeys – це лише вершина айсберга, і рекомендує підвищити рівень кіберзахисту урядових і громадських організацій.