Спецслужбы РФ маскируют шпионское ПО под проверку спутниковых терминалов

Спецслужбы РФ маскируют шпионское ПО под проверку спутниковых терминалов, заявили исследователи из компании Lab52, которые раскрыли новую кампанию кибершпионажа против украинских организаций.

Об этом сообщает издание « GuildHall» , со ссылкой на Источник: The Insider

Хакерская группа, связанная с Россией, использует в качестве приманок вредоносные документы, имитирующие официальные бумаги о работе спутникового интернета Starlink и запросы от известного благотворительного фонда «Вернись живым», поддерживающего Вооруженные силы Украины.

В ходе этой операции, зафиксированной в феврале, злоумышленники распространяют бэкдор под названием DrillApp. Данное вредоносное ПО обладает широким функционалом: оно позволяет хакерам загружать и скачивать файлы с зараженных устройств, тайно записывать звук через микрофон и получать изображения с веб-камеры жертвы.

Специалисты по кибербезопасности приписывают эту деятельность хакерской группе Laundry Bear, также известной под названием Void Blizzard. Эта группировка действует как минимум с 2024 года и ранее уже совершала атаки на государственные учреждения Украины и стран — членов НАТО. Ранее украинская группа реагирования на компьютерные чрезвычайные ситуации CERT-UA сообщала о другой операции этой же группы, направленной против украинских военных. В обеих кампаниях использовались схожие методы, такие как эксплуатация темы благотворительности и размещение компонентов вируса в общедоступных текстовых сервисах. Особенностью текущей атаки стало использование темы проверки терминалов Starlink. Это актуально, поскольку в начале февраля Украина ввела систему верификации оборудования после подтверждения фактов использования Starlink российскими войсками на ударных беспилотниках.

Технический анализ показал, что после открытия вредоносного файла активация вируса происходит через браузер Microsoft Edge. Это дает злоумышленникам доступ к файловой системе устройства, а также позволяет вести запись экрана. Использование веб-браузеров в качестве канала распространения выбрано хакерами неслучайно: браузеры имеют законный доступ к камере и микрофону, что помогает вредоносному ПО избегать обнаружения средствами защиты, которые редко помечают активность штатных браузеров как подозрительную. В Lab52 отмечают, что шпионское ПО DrillApp, вероятно, находится на ранней стадии разработки, и хакеры экспериментируют с новыми способами обхода систем безопасности. Исследователи обнаружили две версии вируса, которые различаются в основном типом приманок для обмана пользователей.

Группировка Laundry Bear специализируется на кибершпионаже, используя относительно простые, но труднодоступные для обнаружения методы. Ранее компания Microsoft уже сообщала об успешных взломах этой группой организаций в оборонном, транспортном и образовательном секторах экономики Украины. Аналитики также указывают на определенные совпадения в тактике Laundry Bear с действиями известной российской группы военной разведки APT28, более известной как Fancy Bear. Несмотря на сходство методов, эксперты склонны считать их разными субъектами, подчеркивая, что появление новых специализированных групп свидетельствует о постоянной адаптации и развитии инструментов российского кибершпионажа в условиях продолжающегося конфликта.