$ 38.08 € 41.49 zł 9.64
+9° Киев +11° Варшава +6° Вашингтон

Хакеры атакуют украинское правительство с помощью пиратских сборок Windows 10

UA.NEWS 20 Грудня 2022 14:55
Хакеры атакуют украинское правительство с помощью пиратских сборок Windows 10

Специалисты компании Mandiant сообщают, что украинские госучреждения страдают от атак троянских вирусов, которые киберпреступники прячут в пиратских сборках Windows. Жертвы загружают их с украинских и российских торрент-трекеров.

Об этом сообщает издание Mandiant.

Mandiant – компания сферы кибербезопасности, сотрудничающая с правительствами, правоохранителями и предприятиями по всему миру, выявляя угрозы, проводя расследования и анализируя продукты безопасности от разных поставщиков. Она опубликовала объемный отчет с неприятными выводами.

Специалисты Mandiant обнаружили целую операцию, сосредоточенную на украинском правительстве через троянизированные инсталляторы Windows 10. Они используют украинский языковой пакет и явно предназначены для украинских пользователей. Кампания продолжается с июля 2022 года и является атаками на цепочку поставок с применением социальной инженерии.

В отчете не уточняется, какие именно государственные учреждения пострадали от атак, и на каком уровне они находятся. Неизвестно и то, как именно пиратское ПО попало на их компьютеры.

Вирусы, встроенные в ISO-образы,проводят разведку и развертывают дополнительные возможности на компьютерах жертв для совершения кражи данных. Например, на некоторых компьютерах были развернуты бэкдоры STOWAWAY, BEACON и SPAREPART, позволяющие хакерам поддерживать доступ к скомпрометированным машинам, выполнять команды, передавать файлы и воровать информацию, включая учетные данные и перехват нажатия клавиш, а также делать скриншоты.

В некоторых случаях злоумышленники даже пытались загрузить Tor Browser на устройство жертвы. Хотя точная причина этих действий не ясна, исследователи подозревают, что Tor мог быть альтернативным каналом для кражи данных.

Распространялись ISO-образы через торрент-сайты,в том числе украинский Toloka и российский RuTracker.

Угроза идентифицируется как UNC4166 и ее не удалось связать с какой-либо из известных хакерских групп.

Использование троянских ISO является новым в шпионских операциях, говорят специалисты Mandiant. Добавленные средства защиты от обнаружения указывают на то, что организаторы этой кампании сознательны и терпеливы относительно своих действий, поскольку задача потребовала значительного времени и ресурсов хотя бы для ожидания установки ISO-образа на нужный компьютер. Файлы опубликованы в общем доступе, где их может загрузить любой – как обычный пользователь, так и небольшое частное предприятие, не интересное хакерам.

Было обнаружено «несколько устройств в сети правительства Украины, которые содержали злонамеренные» программы примерно с 12 июля 2022 года. Из данных, собранных Mandiant, следует, что жертвы выбираются вручную для дальнейшего выполнения задач. Скрытые программы выполняют начальную сортировку скомпрометированных устройств, чтобы определить, интересен ли хакерам именно этот компьютер. Если UNC4166 определял, что устройство, вероятно, содержит ценную информацию, к нему применялись дальнейшие действия.

Ранее агентство национальной безопасности США объявило, что нашло в операционной системе Windows 10 большую уязвимость. Она, в частности давала возможность подрабатывать цифровые подписи.

Microsoft подтвердила, что обновление KB5014666, выпущенное 28 июня 2022 года, препятствует работе USB-принтеров.