Російські хакери спрямували новий вірус проти українських військових
Джерело:
ArsTechnicaХакери, які працюють на російську ФСБ, здійснили кілька кібератак, використовуючи шкідливе програмне забезпечення на базі USB, для викрадення великих обсягів даних з українських військових об'єктів.
Зловмисну кампанію виявили дослідники з компанії Symantec, яка зараз належить Broadcom. Повідомляється, що сектори та характер організацій і комп'ютерів, на які були спрямовані атаки, могли надати зловмисникам доступ до значних обсягів конфіденційної інформації. У деяких організаціях були ознаки того, що зловмисники працювали на комп'ютерах відділів кадрів – це натякає на те, що для хакерів пріоритетною була інформація про працівників та особовий склад ЗСУ.
Дивіться також Українські хакери кажуть, що зруйнували "всю інфраструктуру" важливого російського органу
Що відомо
Групу, яку Symantec відстежує як Shuckworm, інші дослідники називають Gamaredon або Armageddon. Вона діє з 2014 року, пов'язана з ФСБ Росії та зосереджується виключно на отриманні розвідувальної інформації про українські об'єкти. У 2020 році дослідники охоронної компанії SentinelOne заявили, що ці хакери "атакували понад 5 000 окремих організацій по всій Україні, приділяючи особливу увагу районам, де дислокуються українські війська".
У цій кампанії дебютувало нове шкідливе програмне забезпечення у вигляді скрипту PowerShell, який поширює Pterodo, бекдор, створений Shuckworm. Скрипт активується, коли заражені USB-накопичувачі підключаються до комп'ютерів-мішеней. Шкідливий скрипт спочатку копіює себе на комп'ютер-жертву і створює файл швидкого доступу з розширенням rtf.lnk. Файли мають такі імена, як video_porn.rtf.lnk, do_not_delete.rtf.lnk і evidence.rtf.lnk. Назви, як пише джерело, є спробою спонукати жертв відкрити ці файли, щоб вони встановили Pterodo на комп'ютери.
Далі скрипт перераховує всі диски, підключені до комп'ютера-мішені, і копіює себе на всі підключені знімні диски, найімовірніше, в надії заразити будь-які пристрої, навмисно не підключені до інтернету, щоб запобігти їхньому злому.
Щоб замести сліди, Shuckworm створили десятки варіантів і швидко змінили IP-адреси та інфраструктуру, яку використовує для командування й контролю. Угруповання також використовує легальні сервіси, такі як Telegram і платформу мікроблогів Telegraph, для командування і контролю, щоб уникнути викриття.
Shuckworm зазвичай використовує фішингові електронні листи як початковий вектор проникнення на комп'ютери жертв. Листи містять шкідливі вкладення, які маскуються під файли з розширеннями .docx, .rar, .sfx, lnk і hta. У листах часто використовуються такі теми, як збройні конфлікти, кримінальні провадження, боротьба зі злочинністю та захист дітей, як приманки, щоб змусити жертву відкрити лист і натиснути на вкладені файли.
Shuckworm також продовжує оновлювати методи маскування, намагаючись уникнути виявлення: із січня по квітень 2023 року щомісяця з'являлося до 25 нових варіантів скриптів цієї групи.