![Pinterest](https://pinterest.com/pin/create/button/?url=https://fi.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://fi.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google sanoo, että ryhmä Venäjän valtion hakkereita lähettää salattuja PDF-tiedostoja huijatakseen uhreja käyttämään salauksenpurkuapuohjelmaa, joka on itse asiassa haittaohjelma.
Yritys julkaisi eilen blogikirjoituksen, joka dokumentoi Coldriverin, hakkerointiryhmän, jonka Yhdysvallat ja Yhdistynyt kuningaskunta epäilevät työskentelevän Venäjän hallitukselle, uuden tietojenkalastelutaktiikkojen. Vuosi sitten kerrottiin, että Coldriver oli kohdistanut kohteen kolmeen Yhdysvaltain ydintutkimuslaboratorioon. Kuten muutkin hakkerit, Coldriver yrittää vallata uhrin tietokoneen lähettämällä tietojenkalasteluviestejä, jotka päätyvät toimittamaan haittaohjelmia.
"Coldriver käyttää usein väärennettyjä tilejä, teeskentelee olevansa tietyn alan asiantuntija tai jollain tapaa liittyvän uhriin", yhtiö lisäsi. "Nukea tiliä käytetään sitten yhteydenottoon uhriin, mikä lisää tietojenkalastelukampanjan onnistumisen todennäköisyyttä, ja lopulta lähettää tietojenkalastelulinkin tai linkin sisältävän asiakirjan." Saadakseen uhrin asentamaan haittaohjelman, Coldriver lähettää kirjoitetun artikkelin PDF-muodossa ja pyytää palautetta. Vaikka PDF-tiedosto voidaan avata turvallisesti, sen sisällä oleva teksti salataan.
"Jos uhri vastaa, ettei hän voi lukea salattua dokumenttia, Coldriver-tili vastaa linkillä, yleensä pilvitallennustilassa, salauksenpurkuapuohjelmaan, jota uhri voi käyttää", Google sanoi lausunnossaan. "Tämä salauksenpurkuapuohjelma, joka näyttää myös väärennetyn asiakirjan, on itse asiassa takaovi."
Spicaksi kutsuttu takaovi on Googlen mukaan ensimmäinen räätälöity haittaohjelma, jonka Coldriver on kehittänyt. Asennuksen jälkeen haittaohjelma voi suorittaa komentoja, varastaa evästeitä käyttäjän selaimesta, ladata ja ladata tiedostoja sekä varastaa asiakirjoja tietokoneelta.
Google toteaa, että se "havainnoi Spican käyttöä jo syyskuussa 2023, mutta uskoo, että Coldriver on käyttänyt takaovea ainakin marraskuusta 2022 lähtien". Yhteensä neljä salattua PDF-syöttiä havaittiin, mutta Google onnistui poimimaan vain yhden Spica-näytteen, joka toimitettiin työkaluna nimeltä "Proton-decrypter.exe".
Yhtiö lisää, että Coldriverin tavoitteena oli varastaa Ukrainaan, Natoon, akateemisiin instituutioihin ja kansalaisjärjestöihin liittyvien käyttäjien ja ryhmien käyttäjätiedot. Käyttäjien suojelemiseksi yritys on päivittänyt Google-ohjelmiston estämään lataukset verkkotunnuksista, jotka on linkitetty Coldriver-tietojenkalastelukampanjaan.
Google julkaisi raportin kuukausi sen jälkeen, kun Yhdysvaltain kyberpalvelut varoittivat, että Coldriver, joka tunnetaan myös nimellä Star Blizzard, "jatkoa menestyksekkäästi keihäänkalasteluhyökkäysten käyttöä" osuakseen kohteisiin Isossa-Britanniassa.
"Vuodesta 2019 alkaen Star Blizzard on kohdistettu sellaisille sektoreille kuin korkeakoulut, puolustus, hallitusjärjestöt, kansalaisjärjestöt, ajatushautomot ja päätöksentekijät", Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto sanoi. "Vuoden 2022 aikana Star Blizzardin toiminta näyttää laajentuneen entisestään kattamaan puolustus- ja teollisuuslaitokset sekä Yhdysvaltain energiaministeriön tilat."
Lue myös: