Техно Интернет Хакеры атакуют украинское правительство с помощью пиратских сборок Windows 10

Хакеры атакуют украинское правительство с помощью пиратских сборок Windows 10

Автор:

Александр Гайдамашко

12:31, 20 декабря 2022

3 мин

Читати новину українською

Неизвестные хакеры нацелились на правительство Украины через пиратские копии Windows 10

Иллюстративное фото / Коллаж 24 канала

Специалисты компании Mandiant сообщают, что украинские госучреждения страдают от атак троянских вирусов, которые киберпреступники прячут в пиратских сборках Windows. Жертвы загружают их с украинских и российских торрент-трекеров.

Источник:

Mandiant

Mandiant – компания сферы кибербезопасности, сотрудничающая с правительствами, правоохранителями и предприятиями по всему миру, выявляя угрозы, проводя расследования и анализируя продукты безопасности от разных поставщиков. Она опубликовала объемный отчет с неприятными выводами.

Интересно Российские хакеры заявляют, что взломали ФБР, получив доступ к данным тысяч агентов

Что известно

Специалисты Mandiant обнаружили целую операцию, сосредоточенную на украинском правительстве через троянизированные инсталляторы Windows 10. Они используют украинский языковой пакет и явно предназначены для украинских пользователей. Кампания продолжается с июля 2022 года и является атаками на цепочку поставок с применением социальной инженерии.
В отчете не уточняется, какие именно государственные учреждения пострадали от атак, и на каком уровне они находятся. Неизвестно и то, как именно пиратское ПО попало на их компьютеры.
Вирусы, встроенные в ISO-образы, проводят разведку и развертывают дополнительные возможности на компьютерах жертв для совершения кражи данных. Например, на некоторых компьютерах были развернуты бэкдоры STOWAWAY, BEACON и SPAREPART, позволяющие хакерам поддерживать доступ к скомпрометированным машинам, выполнять команды, передавать файлы и воровать информацию, включая учетные данные и перехват нажатия клавиш, а также делать скриншоты.
В некоторых случаях злоумышленники даже пытались загрузить Tor Browser на устройство жертвы. Хотя точная причина этих действий не ясна, исследователи подозревают, что Tor мог быть альтернативным каналом для кражи данных.
Распространялись ISO-образы через торрент-сайты, в том числе украинский Toloka и российский RuTracker.
Угроза идентифицируется как UNC4166 и ее не удалось связать с какой-либо из известных хакерских групп.

Скриншот публикации с пиратской ОС Windows 10 на сайте Toloka
Скриншот публикации с пиратской ОС Windows 10 на сайте Toloka / Фото Mandiant

Использование троянских ISO является новым в шпионских операциях, говорят специалисты Mandiant. Добавленные средства защиты от обнаружения указывают на то, что организаторы этой кампании сознательны и терпеливы относительно своих действий, поскольку задача потребовала значительного времени и ресурсов хотя бы для ожидания установки ISO-образа на нужный компьютер. Файлы опубликованы в общем доступе, где их может загрузить любой – как обычный пользователь, так и небольшое частное предприятие, не интересное хакерам.

Было обнаружено "несколько устройств в сети правительства Украины, которые содержали злонамеренные" программы примерно с 12 июля 2022 года. Из данных, собранных Mandiant, следует, что жертвы выбираются вручную для дальнейшего выполнения задач. Скрытые программы выполняют начальную сортировку скомпрометированных устройств, чтобы определить, интересен ли хакерам именно этот компьютер. Если UNC4166 определял, что устройство, вероятно, содержит ценную информацию, к нему применялись дальнейшие действия.