![Pinterest](https://pinterest.com/pin/create/button/?url=https://ky.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://ky.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google орусиялык мамлекеттик хакерлердин тобу шифрленген PDF файлдарын жөнөтүп, жабырлануучуларды чындыгында кесепеттүү программа болгон шифрди чечмелөө программасын иштетүү үчүн алдап жатканын билдирди.
Кечээ компания АКШ жана Улуу Британия орус өкмөтүндө иштейт деп шектенген хакердик топ Coldriverдин жаңы фишингдик тактикасын документтештирген блог постун жарыялады. Бир жыл мурун Колдривер АКШнын үч ядролук изилдөө лабораториясын бутага алганы кабарланган. Башка хакерлерге окшоп, Coldriver фишинг билдирүүлөрүн жөнөтүү менен жабырлануучунун компьютерин басып алууга аракет кылат, бул кесепеттүү программаны жеткирет.
"Колдрайвер көбүнчө фейк аккаунттарды колдонуп, өзүн белгилүү бир тармактын адиси же кандайдыр бир түрдө жабырлануучуга тиешеси бар деп көрсөтөт", - деп кошумчалады компания. "Андан кийин жасалма аккаунт жабырлануучу менен байланышуу үчүн колдонулат, бул фишингдик кампаниянын ийгиликтүү болуу ыктымалдыгын жогорулатат жана акыры фишинг шилтемесин же шилтемени камтыган документти жөнөтөт." Жабырлануучуну кесепеттүү программаны орнотууга алуу үчүн Coldriver пикир билдирүүнү сурап PDF форматында жазылган макаланы жөнөтөт. PDF файлы коопсуз ачылса да, ичиндеги текст шифрленген болот.
"Эгер жабырлануучу шифрленген документти окуй албайт деп жооп берсе, Coldriver аккаунту көбүнчө булуттагы сактагычта жабырлануучу колдоно ала турган "дешифрлөө" программасына шилтеме менен жооп берет", - деп айтылат Google билдирүүсүндө. "Жасалма документти көрсөткөн бул чечмелөөчү программа чындыгында бэкдор болуп саналат."
Google'дун айтымында, Spica деп аталган бэкдор бул Coldriver тарабынан иштелип чыккан биринчи жеке зыяндуу программа. Орнотулгандан кийин кесепеттүү программа буйруктарды аткарып, колдонуучунун браузеринен кукилерди уурдай алат, файлдарды жүктөп жана жүктөп, компьютерден документтерди уурдай алат.
Google ал "Spicanın колдонулушун 2023-жылдын сентябрында байкаган, бирок Coldriver 2022-жылдын ноябрь айынан бери бэк-доорду колдонуп жатат деп эсептейт" деп билдирди. Бардыгы болуп төрт шифрленген PDF айласы табылды, бирок Google "Proton-decrypter.exe" деп аталган курал катары келген бир гана Spica үлгүсүн бөлүп алууга жетишти.
Компания Колдривердин максаты Украина, НАТО, академиялык мекемелер жана бейөкмөт уюмдар менен байланышкан колдонуучулардын жана топтордун ишеним грамоталарын уурдоо болгонун кошумчалайт. Колдонуучуларды коргоо үчүн компания Coldriver фишинг кампаниясына байланышкан домендерден жүктөөлөрдү бөгөттөө үчүн Google программасын жаңыртты.
Google отчетту АКШнын кибер кызматтары Star Blizzard деп да белгилүү Coldriver Улуу Британиядагы буталарды сокку уруу үчүн "найзалуу фишинг чабуулдарын ийгиликтүү колдонууну улантууда" деп эскерткенден бир айдан кийин жарыялады.
"2019-жылдан баштап, Star Blizzard академиялык, коргонуу, өкмөттүк уюмдар, бейөкмөт уюмдар, аналитикалык борборлор жана саясатчылар сыяктуу секторлорду бутага алды" деди АКШнын Киберкоопсуздук жана инфраструктуралык коопсуздук агенттиги. "2022-жылы Star Blizzard ишмердүүлүгү мындан да кеңейип, коргонуу жана өнөр жай объектилерин, ошондой эле АКШнын Энергетика министрлигинин объектилерин камтыган окшойт."
Ошондой эле окуңуз: