Google разоблачила новое российское шпионское ПО под названием LostKeys

Михаил Года

Основные тезисы

Google разоблачила новое российское шпионское ПО LostKeys, которое используется хакерской группировкой COLDRIVER для атак на западные правительства и организации.
LostKeys разработана на основе VBS, ориентирована на похищение данных, и распространяется через атаки "ClickFix" с использованием социальной инженерии.
Хакеры активизировались после вторжения России в Украину, расширив цели до оборонных и энергетических объектов США, что привело к санкциям и вознаграждению за информацию от США.

Google разоблачила новое российское шпионское ПО под названием LostKeys - Техно

Российская хакерская группировка COLDRIVER, связанная с ФСБ, использует новое шпионское программное обеспечение LostKeys для кибератак на западные правительства, журналистов и неправительственные организации. Google предупреждает о росте угрозы.

Компания Google разоблачила новое шпионское программное обеспечение под названием LostKeys, которое активно используется российской хакерской группировкой COLDRIVER с начала 2025 года, информирует 24 Канал.

По данным группы Google Threat Intelligence Group (GTIG), эта киберугроза нацелена на правительственные учреждения западных стран, журналистов, аналитические центры и неправительственные организации.

Что известно о LostKeys и COLDRIVER?

Хакерская группировка COLDRIVER, также известная как Star Blizzard и Callisto Group, действует как минимум с 2017 года. Ее связывают с Федеральной службой безопасности России (ФСБ). В декабре прошлого года Великобритания вместе с союзниками по разведывательному альянсу "Пять глаз" признали COLDRIVER ответственными за многочисленные кибератаки.

По данным GTIG, новая вредоносная программа LostKeys распространяется через целевые атаки типа "ClickFix". Эти атаки предусматривают использование методов социальной инженерии для обмана пользователей и запуска вредоносных PowerShell-скриптов.

После активации скрипты загружают дополнительные вредоносные модули,, которые в конечном итоге устанавливают LostKeys.

Как работает LostKeys?

LostKeys разработана на основе Visual Basic Script (VBS) и ориентирована на похищение данных. По словам Google, это программное обеспечение действует как своеобразный "цифровой пылесос", собирающий информацию из определенных файлов и директорий, передает системные данные и запускает процессы на удаленных серверах злоумышленников.

COLDRIVER использует LostKeys для похищения учетных данных с целью доступа к электронной почте и контактам жертв. Известно также об использовании другого вредоносного ПО под названием SPICA, предназначенного для сбора документов и файлов.

По данным GTIG, LostKeys является более узкоспециализированным инструментом, который применяется только в "высокоселективных случаях".

Масштабы и реакция международного сообщества

COLDRIVER значительно активизировался после вторжения России в Украину, расширив свои цели до оборонно-промышленных объектов и объектов Министерства энергетики США. Министерство иностранных дел США даже ввело санкции против нескольких участников группировки, среди которых и офицер ФСБ. Более того, США объявили вознаграждение в 10 миллионов долларов за информацию, которая поможет задержать других членов группы.

Примечательно, что COLDRIVER не единственная группировка, которая использует тактику ClickFix. Подобные методы в последних шпионских кампаниях применяют и хакеры из Северной Кореи (Kimsuky), Ирана (MuddyWater) и другие российские группы (APT28, UNK_RemoteRogue).

Google предупреждает, что обнаружение LostKeys – это лишь вершина айсберга, и рекомендует повысить уровень киберзащиты правительственных и общественных организаций.