![Pinterest](https://pinterest.com/pin/create/button/?url=https://kk.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://kk.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google ресейлік мемлекеттік хакерлер тобы жәбірленушілерді шын мәнінде зиянды бағдарлама болып табылатын шифрды шешу утилитасын іске қосу үшін алдап алу үшін шифрланған PDF файлдарын жіберіп жатқанын айтады.
Кеше компания АҚШ пен Ұлыбритания Ресей үкіметінде жұмыс істейді деп күдіктенетін хакерлік топ Coldriver-тің жаңа фишингтік тактикасын құжаттайтын блог жазбасын жариялады. Бір жыл бұрын Колдривер АҚШ-тың үш ядролық зерттеу зертханасын нысанаға алғаны хабарланған болатын. Басқа хакерлер сияқты, Coldriver фишингтік хабарламаларды жіберу арқылы құрбанның компьютерін басып алуға тырысады, нәтижесінде зиянды бағдарлама жеткізіледі.
«Колдрайвер өзін белгілі бір саланың маманы немесе жәбірленушіге қандай да бір қатысы бар деп көрсетіп, жалған аккаунттарды жиі пайдаланады», - деп қосты компания. «Содан кейін жалған есептік жазба жәбірленушімен байланысу үшін пайдаланылады, бұл фишингтік науқанның сәтті болу ықтималдығын арттырады және соңында фишингтік сілтемені немесе сілтемесі бар құжатты жібереді». Жәбірленушіге зиянды бағдарламаны орнатуға мүмкіндік беру үшін Coldriver кері байланыс сұрайтын PDF пішіміндегі жазбаша мақаланы жібереді. PDF файлын қауіпсіз ашуға болатынына қарамастан, ішіндегі мәтін шифрланады.
«Егер жәбірленуші шифрланған құжатты оқи алмайды деп жауап берсе, Coldriver тіркелгісі жәбірленуші пайдалана алатын «шифрды шешу» утилитасына сілтемемен жауап береді, әдетте бұлттық жадта», - делінген Google мәлімдемесінде. «Жалған құжатты да көрсететін бұл шифрды шешу утилитасы шын мәнінде бэкдор болып табылады».
Spica деп аталатын бэкдоор - бұл Coldriver әзірлеген бірінші арнайы зиянды бағдарлама, деп хабарлайды Google. Орнатылғаннан кейін зиянды бағдарлама командаларды орындай алады, пайдаланушының браузерінен cookie файлдарын ұрлайды, файлдарды жүктеп алады және жүктей алады және компьютерден құжаттарды ұрлайды.
Google ол «Spica-ны пайдалануды 2023 жылдың қыркүйегінде байқағанын, бірақ Coldriver бэкдорды кем дегенде 2022 жылдың қарашасынан бастап пайдаланады» деп санайды. Барлығы төрт шифрланған PDF айласы табылды, бірақ Google «Proton-decrypter.exe» деп аталатын құрал ретінде келген бір ғана Spica үлгісін шығара алды.
Компания Coldriver-тің мақсаты Украинамен, НАТО-мен, академиялық мекемелермен және үкіметтік емес ұйымдармен байланысты пайдаланушылар мен топтардың тіркелгі деректерін ұрлау екенін қосады. Пайдаланушыларды қорғау үшін компания Coldriver фишингтік науқанына байланысты домендерден жүктеп алуларды блоктау үшін Google бағдарламалық құралын жаңартты.
Google бұл есепті АҚШ киберқызметтері Star Blizzard деген атпен белгілі Coldriver Ұлыбританиядағы нысандарға соққы беру үшін «найзалық фишингтік шабуылдарды сәтті қолдануды жалғастыруда» деп ескерткеннен кейін бір айдан кейін жариялады.
«2019 жылдан бастап Star Blizzard академиялық, қорғаныс, үкіметтік ұйымдар, үкіметтік емес ұйымдар, сараптамалық орталықтар және саясаткерлер сияқты секторларға бағытталған», - деді АҚШ киберқауіпсіздік және инфрақұрылымдық қауіпсіздік агенттігі. «2022 жылы Star Blizzard қызметі қорғаныс және өнеркәсіптік нысандарды, сондай-ақ АҚШ Энергетика министрлігінің нысандарын қоса алғанда одан әрі кеңейген сияқты».
Сондай-ақ оқыңыз: