Хакери атакують український уряд через піратські збірки Windows 10
Фахівці компанії Mandiant повідомляють, що українські держустанови страждають від атак троянських вірусів, які кіберзлочинці ховають у піратських збірках Windows. Жертви завантажують їх з українських та російських торрент-трекерів.
Про це повідомляє видання Mandiant.
Фахівці Mandiant виявили цілу операцію, зосереджену на українському уряді через троянізовані інсталятори Windows 10. Вони використовують український мовний пакет і явно призначені для українських користувачів. Кампанія триває з липня 2022 року і є атаками на ланцюжок поставок із застосуванням соціальної інженерії.
У звіті не уточнюється, які саме державні установи постраждали від атак, та на якому рівні вони знаходяться. Невідомо й те, як саме піратське ПЗ потрапило на їхні комп'ютери.
Віруси, вмонтовані в ISO-образи, проводять розвідку та розгортають додаткові можливості на комп'ютерах жертв для здійснення крадіжки даних. Наприклад, на деяких комп'ютерах було розгорнуто бекдори STOWAWAY, BEACON та SPAREPART, які дозволяють хакерам підтримувати доступ до скомпрометованих машин, виконувати команди, передавати файли та красти інформацію, включаючи облікові дані та перехоплення натискання клавіш, а також робити скріншоти.
У деяких випадках зловмисники навіть намагалися завантажити Tor Browser на пристрій жертви. Хоча точна причина цих дій не зрозуміла, дослідники підозрюють, що Tor міг би бути альтернативним каналом для крадіжки даних.
Розповсюджувалися ISO-образи через торрент-сайти, в тому числі український Toloka та російський RuTracker.
Загроза ідентифікується як UNC4166 і її не вдалося пов'язати з якоюсь із відомих хакерських груп.
Використання троянських ISO є новим у шпигунських операціях, кажуть спеціалісти Mandiant. Додані засоби захисту від виявлення вказують на те, що організатори цієї кампанії є свідомими та терплячими щодо своїх дій, оскільки завдання потребувало значного часу та ресурсів хоча б для очікування встановлення ISO-образу на потрібний комп'ютер. Файли опубліковані в загальному доступі, де їх може завантажити будь-хто – як звичайний користувач, так і невелике приватне підприємство, яке не цікаве хакерам.
Загалом було виявлено «кілька пристроїв у мережах уряду України, які містили зловмисні» програми приблизно з 12 липня 2022 року. З даних, зібраних Mandiant, випливає, що жертви обираються вручну для подальшого виконання завдань. Приховані програми виконують початкове сортування скомпрометованих пристроїв, щоб визначити, чи цікавий хакерам саме цей комп'ютер. Якщо UNC4166 визначав, що пристрій, ймовірно, містить цінну інформацію, до нього застосовувалися подальші дії.
Раніше агентство національної безпеки США оголосило, що знайшло в операційній системі Windows 10 велику уразливість. Вона зокрема давала можливість підробляти цифрові підписи.
Microsoft підтвердила, що оновлення KB5014666, випущене 28 червня 2022 року, перешкоджає роботі USB-принтерів.