![Pinterest](https://pinterest.com/pin/create/button/?url=https://hy.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://hy.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google-ն ասում է, որ ռուսական պետական հաքերների խումբը ուղարկում է կոդավորված PDF ֆայլեր՝ խաբելու զոհերին՝ գործարկելու ապակոդավորման ծրագիր, որն իրականում չարամիտ ծրագիր է:
Երեկ ընկերությունը հրապարակել է բլոգային գրառում, որը փաստում է Coldriver հաքերային խմբի կողմից ֆիշինգի նոր մարտավարությունը, որին ԱՄՆ-ը և Մեծ Բրիտանիան կասկածում են Ռուսաստանի կառավարության համար աշխատելու մեջ: Մեկ տարի առաջ հաղորդվել էր, որ Coldriver-ը թիրախավորել է ԱՄՆ երեք միջուկային հետազոտական լաբորատորիաներ։ Ինչպես մյուս հաքերները, Coldriver-ը փորձում է տիրանալ զոհի համակարգչին՝ ուղարկելով ֆիշինգի հաղորդագրություններ, որոնք վերջում բերում են չարամիտ ծրագրեր:
«Քոլդրայվերը հաճախ օգտագործում է կեղծ աքաունթներ՝ ձեւանալով, թե որոշակի ոլորտում փորձագետ է կամ ինչ-որ կերպ կապված է զոհի հետ», - ավելացրել են ընկերությունից։ «Կեղծ հաշիվն այնուհետև օգտագործվում է զոհի հետ կապ հաստատելու համար, ինչը մեծացնում է ֆիշինգի արշավի հաջողության հավանականությունը և, ի վերջո, ուղարկում է ֆիշինգի հղում կամ հղումը պարունակող փաստաթուղթ»: Որպեսզի տուժածին ստիպեն տեղադրել չարամիտ ծրագիրը, Coldriver-ը գրավոր հոդված է ուղարկում PDF ձևաչափով՝ հետադարձ կապ խնդրելով: Թեև PDF ֆայլը կարող է ապահով բացվել, ներսում տեքստը կոդավորված կլինի:
«Եթե տուժողը պատասխանում է, որ չի կարող կարդալ գաղտնագրված փաստաթուղթը, Coldriver հաշիվը պատասխանում է հղումով, սովորաբար ամպային պահեստում, «գաղտնազերծման» ծրագրին, որը տուժողը կարող է օգտագործել», - ասվում է Google-ի հայտարարության մեջ: «Այս ապակոդավորման օգտակար ծրագիրը, որը նաև ցուցադրում է կեղծ փաստաթուղթ, իրականում հետնադուռ է»:
Spica անվանումը՝ հետնախորշը, ըստ Google-ի, Coldriver-ի կողմից մշակված առաջին մաքսային չարամիտ ծրագիրն է: Տեղադրվելուց հետո չարամիտ ծրագիրը կարող է հրամաններ կատարել, օգտատիրոջ զննարկիչից թխուկներ գողանալ, ֆայլեր վերբեռնել և ներբեռնել և փաստաթղթեր գողանալ համակարգչից:
Google-ը նշում է, որ ինքը «դիտել է Spica-ի օգտագործումը դեռևս 2023 թվականի սեպտեմբերին, սակայն կարծում է, որ Coldriver-ն օգտագործում է հետնախորշը առնվազն 2022 թվականի նոյեմբերից»։ Ընդամենը հայտնաբերվել են չորս կոդավորված PDF խաբեբաներ, սակայն Google-ին հաջողվել է դուրս հանել միայն մեկ Spica նմուշ, որը եկել է որպես «Proton-decrypter.exe» կոչվող գործիք:
Ընկերությունը հավելում է, որ Coldriver-ի նպատակն էր գողանալ Ուկրաինայի, ՆԱՏՕ-ի, ակադեմիական հաստատությունների և ոչ կառավարական կազմակերպությունների հետ կապված օգտատերերի և խմբերի հավատարմագրերը։ Օգտատերերին պաշտպանելու համար ընկերությունը թարմացրել է Google-ի ծրագրակազմը՝ արգելափակելու Coldriver ֆիշինգի արշավի հետ կապված տիրույթներից ներբեռնումները:
Google-ը հրապարակեց զեկույցը մեկ ամիս անց այն բանից հետո, երբ ԱՄՆ կիբեր ծառայությունները զգուշացրեցին, որ Coldriver-ը, որը նաև հայտնի է որպես Star Blizzard, «շարունակում է հաջողությամբ օգտագործել նիզակային ֆիշինգ հարձակումները»՝ հարվածելու թիրախներին Մեծ Բրիտանիայում:
«2019 թվականից սկսած Star Blizzard-ը թիրախավորել է այնպիսի ոլորտներ, ինչպիսիք են ակադեմիան, պաշտպանությունը, կառավարական կազմակերպությունները, ոչ կառավարական կազմակերպությունները, վերլուծական կենտրոնները և քաղաքականություն մշակողները», - ասվում է ԱՄՆ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունը: «2022 թվականի ընթացքում Star Blizzard-ի գործունեությունը, ըստ երևույթին, ավելի է ընդլայնվել՝ ներառելով պաշտպանական և արդյունաբերական օբյեկտները, ինչպես նաև ԱՄՆ էներգետիկայի նախարարության օբյեկտները»:
Կարդացեք նաև.