![Pinterest](https://pinterest.com/pin/create/button/?url=https://lv.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://lv.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google saka, ka Krievijas valsts hakeru grupa sūta šifrētus PDF failus, lai pievilinātu upurus palaist atšifrēšanas utilītu, kas patiesībā ir ļaunprātīga programmatūra.
Vakar uzņēmums publicēja emuāra ierakstu, kurā dokumentēta jauna pikšķerēšanas taktika, ko īstenojusi Coldriver — hakeru grupa, par kuru ASV un Apvienotā Karaliste tur aizdomās par darbu Krievijas valdības labā. Pirms gada tika ziņots, ka Coldriver uzbruka trim ASV kodolpētniecības laboratorijām. Tāpat kā citi hakeri, arī Coldriver mēģina pārņemt upura datoru, nosūtot pikšķerēšanas ziņojumus, kas galu galā piegādā ļaunprātīgu programmatūru.
"Coldriver bieži izmanto viltotus kontus, uzdodoties par ekspertu noteiktā jomā vai kaut kā saistīts ar cietušo," piebilda uzņēmums. "Viltus konts pēc tam tiek izmantots, lai sazinātos ar upuri, kas palielina pikšķerēšanas kampaņas veiksmīgas iznākuma iespējamību, un galu galā tiek nosūtīta pikšķerēšanas saite vai dokuments, kurā ir saite." Lai liktu upurim instalēt ļaunprātīgu programmatūru, Coldriver nosūta rakstisku rakstu PDF formātā, lūdzot atsauksmes. Lai gan PDF failu var droši atvērt, tajā esošais teksts tiks šifrēts.
"Ja upuris atbild, ka nevar nolasīt šifrēto dokumentu, Coldriver konts atbild ar saiti, parasti mākoņkrātuvē, uz "atšifrēšanas" utilītu, ko upuris var izmantot," teikts Google paziņojumā. "Šī atšifrēšanas utilīta, kas parāda arī viltotu dokumentu, patiesībā ir aizmugures durvis."
Saskaņā ar Google datiem, aizmugures durvis, kas nodēvētas par Spica, ir pirmā Coldriver izstrādātā pielāgotā ļaunprogrammatūra. Pēc instalēšanas ļaunprogrammatūra var izpildīt komandas, nozagt sīkfailus no lietotāja pārlūkprogrammas, augšupielādēt un lejupielādēt failus, kā arī nozagt dokumentus no datora.
Google norāda, ka tas "novēroja Spica izmantošanu jau 2023. gada septembrī, taču uzskata, ka Coldriver ir izmantojis aizmugures durvis vismaz kopš 2022. gada novembra". Kopumā tika atklāti četri šifrēti PDF mānekļi, taču Google izdevās iegūt tikai vienu Spica paraugu, kas tika piegādāts kā rīks ar nosaukumu “Proton-decrypter.exe”.
Uzņēmums piebilst, ka Coldriver mērķis bija nozagt ar Ukrainu, NATO, akadēmiskajām institūcijām un nevalstiskajām organizācijām saistīto lietotāju un grupu akreditācijas datus. Lai aizsargātu lietotājus, uzņēmums ir atjauninājis Google programmatūru, lai bloķētu lejupielādes no domēniem, kas saistīti ar Coldriver pikšķerēšanas kampaņu.
Google publicēja ziņojumu mēnesi pēc tam, kad ASV kiberdienesti brīdināja, ka Coldriver, kas pazīstams arī kā Star Blizzard, "turpina veiksmīgi izmantot šķēpu pikšķerēšanas uzbrukumus", lai sasniegtu mērķus Apvienotajā Karalistē.
"Kopš 2019. gada Star Blizzard ir mērķējis uz tādām nozarēm kā akadēmiskās aprindas, aizsardzība, valdības organizācijas, nevalstiskās organizācijas, ideju laboratorijas un politikas veidotāji," paziņoja ASV Kiberdrošības un infrastruktūras drošības aģentūra. "Šķiet, ka 2022. gadā Star Blizzard darbība ir vēl vairāk paplašinājusies, iekļaujot aizsardzības un rūpniecības objektus, kā arī ASV Enerģētikas departamenta iekārtas."
Lasi arī: