![Pinterest](https://pinterest.com/pin/create/button/?url=https://ka.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://ka.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google ამბობს, რომ რუსეთის სახელმწიფო ჰაკერების ჯგუფი აგზავნის დაშიფრულ PDF ფაილებს, რათა მოატყუონ მსხვერპლები დაშიფვრის პროგრამაში, რომელიც რეალურად მავნე პროგრამაა.
გუშინ, კომპანიამ გამოაქვეყნა ბლოგპოსტი, სადაც დოკუმენტირებული იყო Coldriver-ის ახალი ფიშინგის ტაქტიკა, ჰაკერული ჯგუფი, რომელსაც აშშ და დიდი ბრიტანეთი ეჭვობენ რუსეთის მთავრობისთვის მუშაობაში. ერთი წლის წინ გავრცელდა ინფორმაცია, რომ Coldriver-ის სამიზნე იყო აშშ-ის სამი ბირთვული კვლევის ლაბორატორია. სხვა ჰაკერების მსგავსად, Coldriver ცდილობს დაიპყროს მსხვერპლის კომპიუტერი ფიშინგ-შეტყობინებების გაგზავნით, რომლებიც მთავრდება მავნე პროგრამის მიწოდებით.
„ქოლდრაივერი ხშირად იყენებს ყალბ ანგარიშებს, თავს აჩენს, რომ არის ექსპერტი გარკვეული დარგში ან როგორღაც დაკავშირებულია მსხვერპლთან“, - დასძინეს კომპანიაში. "ყალბი ანგარიში შემდეგ გამოიყენება მსხვერპლთან დასაკავშირებლად, რაც ზრდის ფიშინგის კამპანიის წარმატების ალბათობას და საბოლოოდ აგზავნის ფიშინგის ბმულს ან ბმულის შემცველ დოკუმენტს." იმისათვის, რომ მსხვერპლი დააინსტალიროს მავნე პროგრამა, Coldriver აგზავნის წერილობით სტატიას PDF ფორმატში და ითხოვს გამოხმაურებას. მიუხედავად იმისა, რომ PDF ფაილის უსაფრთხოდ გახსნა შესაძლებელია, შიგნით ტექსტი დაშიფრული იქნება.
„თუ მსხვერპლი უპასუხებს, რომ არ შეუძლია დაშიფრული დოკუმენტის წაკითხვა, Coldriver-ის ანგარიში პასუხობს ბმულით, ჩვეულებრივ ღრუბლოვან საცავზე, „გაშიფვრის“ პროგრამაზე, რომელიც მსხვერპლს შეუძლია გამოიყენოს“, - ნათქვამია Google-ის განცხადებაში. "ეს გაშიფვრის პროგრამა, რომელიც ასევე აჩვენებს ყალბ დოკუმენტს, სინამდვილეში არის უკანა კარი."
Google-ის თანახმად, Spica სახელწოდებით, backdoor არის Coldriver-ის მიერ შემუშავებული პირველი მორგებული მავნე პროგრამა. ინსტალაციის შემდეგ, მავნე პროგრამას შეუძლია შეასრულოს ბრძანებები, მოიპაროს ქუქიები მომხმარებლის ბრაუზერიდან, ატვირთოს და ჩამოტვირთოს ფაილები და მოიპაროს დოკუმენტები კომპიუტერიდან.
Google აცხადებს, რომ ის „აკვირდებოდა Spica-ს გამოყენებას ჯერ კიდევ 2023 წლის სექტემბერში, მაგრამ თვლის, რომ Coldriver იყენებს backdoor-ს მინიმუმ 2022 წლის ნოემბრიდან“. სულ ოთხი დაშიფრული PDF მატყუარა იქნა აღმოჩენილი, მაგრამ Google-მა მოახერხა მხოლოდ ერთი Spica-ს ნიმუშის ამოღება, რომელიც გამოვიდა როგორც ინსტრუმენტი სახელწოდებით “Proton-decrypter.exe”.
კომპანია დასძენს, რომ Coldriver-ის მიზანი იყო მომხმარებლებისა და ჯგუფების რწმუნებათა სიგელების მოპარვა, რომლებიც დაკავშირებულია უკრაინასთან, ნატოსთან, აკადემიურ ინსტიტუტებთან და არასამთავრობო ორგანიზაციებთან. მომხმარებლების დასაცავად, კომპანიამ განაახლა Google-ის პროგრამული უზრუნველყოფა, რათა დაბლოკოს ჩამოტვირთვები დომენებიდან, რომლებიც დაკავშირებულია Coldriver ფიშინგ კამპანიასთან.
Google-მა გამოაქვეყნა ანგარიში ერთი თვის შემდეგ მას შემდეგ, რაც აშშ-ს კიბერ სერვისებმა გააფრთხილეს, რომ Coldriver, ასევე ცნობილი როგორც Star Blizzard, „აგრძელებს წარმატებით გამოიყენებს spear phishing თავდასხმებს“ გაერთიანებულ სამეფოში სამიზნეების დასარტყმელად.
„2019 წლიდან Star Blizzard-ი მიზნად ისახავდა ისეთ სექტორებს, როგორიცაა აკადემია, თავდაცვა, სამთავრობო ორგანიზაციები, არასამთავრობო ორგანიზაციები, ანალიტიკური ცენტრები და პოლიტიკის შემქმნელები“, - თქვა აშშ-ის კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტომ. „2022 წლის განმავლობაში Star Blizzard-ის საქმიანობა, როგორც ჩანს, კიდევ უფრო გაფართოვდა და მოიცავდა თავდაცვისა და სამრეწველო ობიექტებს, ასევე აშშ-ს ენერგეტიკის დეპარტამენტის ობიექტებს.
ასევე წაიკითხეთ: