Російські хакери спрямували новий вірус проти українських військових
Категорія
Світ
Дата публікації

Російські хакери спрямували новий вірус проти українських військових

Російські хакери спрямували новий вірус проти українських військових
Джерело:  online.ua

Хакери, які працюють на російську ФСБ, здійснили кілька кібератак, використовуючи шкідливе програмне забезпечення на базі USB, для викрадення великих обсягів даних з українських військових об'єктів.

Джерело: ArsTechnica

Російські хакери спрямували новий вірус проти українських військових

Зловмисну кампанію виявили дослідники з компанії Symantec, яка зараз належить Broadcom. Повідомляється, що сектори та характер організацій і комп'ютерів, на які були спрямовані атаки, могли надати зловмисникам доступ до значних обсягів конфіденційної інформації. У деяких організаціях були ознаки того, що зловмисники працювали на комп'ютерах відділів кадрів – це натякає на те, що для хакерів пріоритетною була інформація про працівників та особовий склад ЗСУ.

Групу, яку Symantec відстежує як Shuckworm, інші дослідники називають Gamaredon або Armageddon. Вона діє з 2014 року, пов'язана з ФСБ Росії та зосереджується виключно на отриманні розвідувальної інформації про українські об'єкти. У 2020 році дослідники охоронної компанії SentinelOne заявили, що ці хакери "атакували понад 5 000 окремих організацій по всій Україні, приділяючи особливу увагу районам, де дислокуються українські війська".
У лютому Shuckworm почали розгортати нове шкідливе програмне забезпечення та командно-контрольну інфраструктуру, яка успішно проникла в систему захисту багатьох українських організацій у військовій сфері, службах безпеки та уряді, стверджує Symantec.

У цій кампанії дебютувало нове шкідливе програмне забезпечення у вигляді скрипту PowerShell, який поширює Pterodo, бекдор, створений Shuckworm. Скрипт активується, коли заражені USB-накопичувачі підключаються до комп'ютерів-мішеней. Шкідливий скрипт спочатку копіює себе на комп'ютер-жертву і створює файл швидкого доступу з розширенням rtf.lnk. Файли мають такі імена, як video_porn.rtf.lnk, do_not_delete.rtf.lnk і evidence.rtf.lnk. Назви, як пише джерело, є спробою спонукати жертв відкрити ці файли, щоб вони встановили Pterodo на комп'ютери.

Далі скрипт перераховує всі диски, підключені до комп'ютера-мішені, і копіює себе на всі підключені знімні диски, найімовірніше, в надії заразити будь-які пристрої, навмисно не підключені до інтернету, щоб запобігти їхньому злому.

Щоб замести сліди, Shuckworm створили десятки варіантів і швидко змінили IP-адреси та інфраструктуру, яку використовує для командування й контролю. Угруповання також використовує легальні сервіси, такі як Telegram і платформу мікроблогів Telegraph, для командування і контролю, щоб уникнути викриття.

Що відомо про Shuckworm

Shuckworm зазвичай використовує фішингові електронні листи як початковий вектор проникнення на комп'ютери жертв. Листи містять шкідливі вкладення, які маскуються під файли з розширеннями .docx, .rar, .sfx, lnk і hta. У листах часто використовуються такі теми, як збройні конфлікти, кримінальні провадження, боротьба зі злочинністю та захист дітей, як приманки, щоб змусити жертву відкрити лист і натиснути на вкладені файли.

Shuckworm також продовжує оновлювати методи маскування, намагаючись уникнути виявлення: із січня по квітень 2023 року щомісяця з'являлося до 25 нових варіантів скриптів цієї групи.

Читайте також:

Залишаючись на онлайні ви даєте згоду на використання файлів cookies, які допомагають нам зробити ваше перебування тут ще зручнішим

Based on your browser and language settings, you might prefer the English version of our website. Would you like to switch?