російські хакери запустили шкідливе ПЗ проти українських військових

Хакери, які працюють на фсб росії, влаштовують численні кібератаки проти українських військових. Для цього вони використовують зловмисне програмне забезпечення, яке поширюється через USB. Про це повідомляє розслідувальна група Symantec.

Група хакерів Shuckworm (або Gamaredon, або Armageddon) діє з 2014 року. Зловмисники постійно намагаються викрасти конфіденційну інформацію, як-от дані про загибель українських військових, бойові дії та авіаудари противника, зброю, навчання військових тощо.

Symantec виявила, що незадовго до повномасштабного вторгнення Shuckworm почала використовувати нове шкідливе ПЗ Pterodo у вигляді PowerShell-скрипта, який поширюється через заражені USB-накопичувачі. Після підключення до комп’ютера скрипт активується, копіює себе на комп'ютер і створює ярлик із розширенням rtf.lnk, який запускає Pterodo на машині. Файли мають такі назви: video_porn.rtf.lnk, do_not_delete.rtf.lnk, evidence.rtf.lnk або українською. Таким чином хакери спонукають жертв відкрити файли та встановити Pterodo.

Скрипт також сканує всі підключені до комп'ютера диски і копіює себе на всі знімні носії, щоб заразити ізольовані пристрої, що не підключені до інтернету. 

Для маскування своєї діяльності Shuckworm створює десятки варіантів свого ПЗ та швидко змінює IP-адреси. Зловмисники також використовують Telegram і платформу мікроблогів Telegraph для управління та контролю в спробі уникнути виявлення.

Shuckworm постійно оновлює свій набір інструментів для злому.

Зазвичай Shuckworm використовує фішингові електронні листи, щоб отримати доступ до комп’ютерів жертв і поширити зловмисне ПЗ. Такі листи містять шкідливі вкладення формату .docx, .rar, .sfx, lnk і hta та використовують назви, пов’язані з війною, боротьбою зі злочинністю та захистом дітей.

Публікація Symantec містить IP-адреси, хеші, імена файлів та інші індикатори компрометації, за якими можна виявити, чи не стали ви ціллю російських хакерів.