Google викрила російських хакерів, що атакують Україну і НАТО за новими схемами

Хакери держави-агресорки російської федерації розсилають зашифровані файли, щоб маніпулювати жертвами і змусити їх встановити шкідливу програму. Такого висновку дійшли фахівці компанії Google, які повідомили про проблему у своєму офіційному блозі.

Фахівці з кібербезпеки Google зазначили, що група російських хакерів Coldriver, яких спонсорує кремль, розробила нову тактику фішингу. Експерти стверджують, що це те саме угруповання, яке 2023 року атакувало 3 ядерні дослідницькі лабораторії США.

«Coldriver часто використовує облікові записи, що видають себе за експерта у певній галузі, наприклад, у сфері кібербезпеки. Потім за допомогою цього облікового запису вони зв’язуються з жертвами і переконують, що їхні комп’ютери перебувають у небезпеці, але вони можуть допомогти. У підсумку зловмисники надсилають документ нібито з інструкцією зі встановлення антивірусу, що містить шкідливе посилання», — пишуть експерти.

Щоб обманом змусити людей встановити шкідливе ПЗ, Coldriver розсилає статті у форматі PDF із проханням залишити відгук. Текст у цьому PDF-файлі зашифрований особливим чином. Якщо користувач потрапив на гачок, то він повідомляє удаваному фахівцеві, що не може прочитати текст. Той пропонує вислати посилання на утиліту з дешифрування, але насправді «утиліта дешифрування» є бекдором.

У Google виявлений бекдор назвали Spica. Після встановлення шкідливе ПЗ може виконувати команди віддалено, красти файли cookie з браузера користувача, завантажувати й вивантажувати файли, а також видаляти документи з комп’ютера. Google заявляє, що вперше Spica почали використовувати ще у вересні 2023 року. Загалом було виявлено 4 зашифровані PDF-приманки, але Google вдалося отримати тільки один зразок Spica, який з’явився у вигляді інструменту під назвою «Proton-decrypter.exe».

Google опублікувала звіт через місяць після того, як влада США попередила, що угруповання Coldriver, також відоме як Star Blizzard, «продовжує успішно використовувати фішингові атаки» для ураження цілей у Великій Британії.

«З 2019 року Star Blizzard націлена на такі сектори, як академічні кола, урядові організації, неурядові організації, аналітичні центри та політиків», — заявило Агентство кібербезпеки та безпеки інфраструктури США. — «У 2022 році діяльність Star Blizzard, схоже, ще більше розширилася, оскільки цілями стали оборонно-промислові об'єкти, а також об'єкти Міністерства енергетики США».