![Pinterest](https://pinterest.com/pin/create/button/?url=https://lt.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://lt.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
„Google“ teigia, kad grupė Rusijos valstybinių įsilaužėlių siunčia užšifruotus PDF failus, kad apgautų aukas, kad jos paleistų iššifravimo programą, kuri iš tikrųjų yra kenkėjiška programa.
Vakar bendrovė paskelbė tinklaraščio įrašą, kuriame dokumentuojama nauja „Coldriver“ – įsilaužimo grupės, kurią JAV ir JK įtaria dirbant Rusijos vyriausybei, – sukčiavimo taktika. Prieš metus buvo pranešta, kad „Coldriver“ nusitaikė į tris JAV branduolinių tyrimų laboratorijas. Kaip ir kiti įsilaužėliai, „Coldriver“ bando užvaldyti aukos kompiuterį siųsdama sukčiavimo pranešimus, kurie galiausiai atneša kenkėjišką programą.
„Coldriver dažnai naudoja netikras paskyras, apsimesdamas tam tikros srities ekspertu ar kažkaip susijusiu su auka“, – pridūrė bendrovė. „Tuomet suklastota paskyra naudojama susisiekti su auka, o tai padidina sukčiavimo kampanijos sėkmės tikimybę, ir galiausiai išsiunčiama sukčiavimo nuoroda arba dokumentas, kuriame yra nuoroda. Siekdama, kad auka įdiegtų kenkėjišką programą, „Coldriver“ siunčia rašytinį straipsnį PDF formatu, prašydama atsiliepimų. Nors PDF failą galima saugiai atidaryti, viduje esantis tekstas bus užšifruotas.
„Jei auka atsako, kad negali perskaityti užšifruoto dokumento, „Coldriver“ paskyra atsako pateikdama nuorodą, dažniausiai debesies saugykloje, į „iššifravimo“ programą, kurią auka gali naudoti“, – sakoma „Google“ pranešime. „Ši iššifravimo programa, kuri taip pat rodo netikrą dokumentą, iš tikrųjų yra užpakalinės durys.
„Spica“, „backdoor“ yra pirmoji pritaikyta kenkėjiška programa, kurią sukūrė „Coldriver“, teigia „Google“. Įdiegta kenkėjiška programa gali vykdyti komandas, pavogti slapukus iš vartotojo naršyklės, įkelti ir atsisiųsti failus bei pavogti dokumentus iš kompiuterio.
„Google“ teigia, kad „stebėjo „Spica“ naudojimą dar 2023 m. rugsėjo mėn., tačiau mano, kad „Coldriver“ užpakalines duris naudoja mažiausiai nuo 2022 m. lapkričio mėn. Iš viso buvo aptikti keturi užšifruoti PDF viliokliai, tačiau „Google“ sugebėjo išgauti tik vieną „Spica“ pavyzdį, kuris buvo kaip įrankis „Proton-decrypter.exe“.
Bendrovė priduria, kad „Coldriver“ tikslas buvo pavogti vartotojų ir grupių, susijusių su Ukraina, NATO, akademinėmis institucijomis ir nevyriausybinėmis organizacijomis, kredencialus. Siekdama apsaugoti vartotojus, bendrovė atnaujino „Google“ programinę įrangą, kad blokuotų atsisiuntimus iš domenų, susietų su „Coldriver“ sukčiavimo kampanija.
„Google“ paskelbė ataskaitą praėjus mėnesiui po to, kai JAV kibernetinės tarnybos perspėjo, kad „Coldriver“, dar žinomas kaip „Star Blizzard“, „toliau sėkmingai naudoja sukčiavimo ietis atakas“, kad pasiektų taikinius JK.
„Nuo 2019 m. „Star Blizzard“ buvo nukreipta į tokius sektorius kaip akademinė bendruomenė, gynyba, vyriausybinės organizacijos, nevyriausybinės organizacijos, ekspertų grupės ir politikos formuotojai“, – nurodė JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra. „Atrodo, kad 2022 m. „Star Blizzard“ veikla dar labiau išsiplėtė, įtraukdama gynybos ir pramonės objektus, taip pat JAV Energetikos departamento objektus.
Taip pat skaitykite: