Российские хакеры направили новый вирус против украинских военных

16 июня 2023, 14:01
Читати новину українською
Автор: Александр Гайдамашко

Источник:

ArsTechnica

Хакеры, работающие на российскую ФСБ, осуществили несколько кибератак, используя вредоносное программное обеспечение на базе USB для похищения больших объемов данных с украинских военных объектов.

Злонамеренную кампанию обнаружили исследователи из компании Symantec, которая сейчас принадлежит Broadcom. Сообщается, что секторы и характер организаций и компьютеров, на которые были направлены атаки, могли предоставить злоумышленникам доступ к значительным объемам конфиденциальной информации. В некоторых организациях были признаки того, что злоумышленники работали на компьютерах отделов кадров – это намекает на то, что для хакеров приоритетной была информация о работниках и личном составе ВСУ.

Смотрите также Украинские хакеры говорят, что разрушили "всю инфраструктуру" важного российского органа

Что известно

Группу, которую Symantec отслеживает как Shuckworm, другие исследователи называют Gamaredon или Armageddon. Она действует с 2014 года, связана с ФСБ России и сосредоточена исключительно на получении разведывательной информации об украинских объектах. В 2020 году исследователи охранной компании SentinelOne заявили, что эти хакеры "атаковали более 5 000 отдельных организаций по всей Украине, уделяя особое внимание районам, где дислоцируются украинские войска".

В феврале Shuckworm начали развертывать новое вредоносное программное обеспечение и командно-контрольную инфраструктуру, успешно проникшую в систему защиты многих украинских организаций в военной сфере, служб безопасности и правительства, утверждает Symantec.

В этой кампании дебютировало новое вредоносное ПО в виде скрипта PowerShell, который распространяет Pterodo, бекдор, созданный Shuckworm. Скрипт активируется, когда зараженные USB-накопители подключаются к компьютерам-мишеням. Вредоносный скрипт сначала копирует себя на компьютер-жертву и создает файл быстрого доступа с расширением rtf.lnk. У файлов такие имена, как video_porn.rtf.lnk, do_not_delete.rtf.lnk и evidence.rtf.lnk. Имя, как пишет источник, является попыткой побудить жертв открыть эти файлы, чтобы они установили Pterodo на компьютеры.

Далее скрипт перечисляет все диски, подключенные к компьютеру-мишени, и копирует себя на все подключенные съемные диски, вероятнее всего, в надежде заразить какие-либо устройства, намеренно не подключенные к интернету, чтобы предотвратить их взлом.

Чтобы замести следы, Shuckworm создали десятки вариантов и быстро изменили IP-адреса и инфраструктуру, используемую для командования и контроля. Группировка также использует легальные сервисы, такие как Telegram и платформу микроблогов Telegraph, для командования и контроля во избежание разоблачения.

Shuckworm обычно использует фишинговые электронные письма как начальный вектор проникновения на компьютеры жертв. Письма содержат вредоносные вложения, которые маскируются под файлы с расширениями .docx, .rar, .sfx, lnk и hta. В письмах часто используются такие темы, как вооруженные конфликты, уголовные производства, борьба с преступностью и защита детей как приманки, чтобы заставить жертву открыть письмо и нажать на вложенные файлы.

Shuckworm также продолжает обновлять методы маскировки, пытаясь избежать обнаружения: с января по апрель 2023 ежемесячно появлялось до 25 новых вариантов скриптов этой группы.