Фото: freepik.com
Хакери, які працюють на російську ФСБ, здійснили кілька кібератак, використовуючи шкідливе програмне забезпечення на базі USB, для викрадення великих обсягів даних з українських військових об’єктів.
Джерело: ArsTechnica
Російські хакери спрямували новий вірус проти українських військових
Зловмисну кампанію виявили дослідники з компанії Symantec, яка зараз належить Broadcom. Повідомляється, що сектори та характер організацій і комп’ютерів, на які були спрямовані атаки, могли надати зловмисникам доступ до значних обсягів конфіденційної інформації. У деяких організаціях були ознаки того, що зловмисники працювали на комп’ютерах відділів кадрів – це натякає на те, що для хакерів пріоритетною була інформація про працівників та особовий склад ЗСУ.
Групу, яку Symantec відстежує як Shuckworm, інші дослідники називають Gamaredon або Armageddon. Вона діє з 2014 року, пов’язана з ФСБ Росії та зосереджується виключно на отриманні розвідувальної інформації про українські об’єкти. У 2020 році дослідники охоронної компанії SentinelOne заявили, що ці хакери “атакували понад 5 000 окремих організацій по всій Україні, приділяючи особливу увагу районам, де дислокуються українські війська”.
У лютому Shuckworm почали розгортати нове шкідливе програмне забезпечення та командно-контрольну інфраструктуру, яка успішно проникла в систему захисту багатьох українських організацій у військовій сфері, службах безпеки та уряді, стверджує Symantec.
У цій кампанії дебютувало нове шкідливе програмне забезпечення у вигляді скрипту PowerShell, який поширює Pterodo, бекдор, створений Shuckworm. Скрипт активується, коли заражені USB-накопичувачі підключаються до комп’ютерів-мішеней. Шкідливий скрипт спочатку копіює себе на комп’ютер-жертву і створює файл швидкого доступу з розширенням rtf.lnk. Файли мають такі імена, як video_porn.rtf.lnk, do_not_delete.rtf.lnk і evidence.rtf.lnk. Назви, як пише джерело, є спробою спонукати жертв відкрити ці файли, щоб вони встановили Pterodo на комп’ютери.
Далі скрипт перераховує всі диски, підключені до комп’ютера-мішені, і копіює себе на всі підключені знімні диски, найімовірніше, в надії заразити будь-які пристрої, навмисно не підключені до інтернету, щоб запобігти їхньому злому.
Щоб замести сліди, Shuckworm створили десятки варіантів і швидко змінили IP-адреси та інфраструктуру, яку використовує для командування й контролю. Угруповання також використовує легальні сервіси, такі як Telegram і платформу мікроблогів Telegraph, для командування і контролю, щоб уникнути викриття.
Що відомо про Shuckworm
Shuckworm зазвичай використовує фішингові електронні листи як початковий вектор проникнення на комп’ютери жертв. Листи містять шкідливі вкладення, які маскуються під файли з розширеннями .docx, .rar, .sfx, lnk і hta. У листах часто використовуються такі теми, як збройні конфлікти, кримінальні провадження, боротьба зі злочинністю та захист дітей, як приманки, щоб змусити жертву відкрити лист і натиснути на вкладені файли.
Shuckworm також продовжує оновлювати методи маскування, намагаючись уникнути виявлення: із січня по квітень 2023 року щомісяця з’являлося до 25 нових варіантів скриптів цієї групи.