![Pinterest](https://pinterest.com/pin/create/button/?url=https://is.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://is.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google segir að hópur rússneskra ríkishattara sé að senda dulkóðaðar PDF-skrár til að plata fórnarlömb til að keyra afkóðunartól sem er í raun spilliforrit.
Fyrirtækið birti í gær bloggfærslu þar sem ný vefveiðaraðferð er gerð eftir Coldriver, tölvuþrjótahópi sem Bandaríkin og Bretland gruna að hafi unnið fyrir rússnesk stjórnvöld. Fyrir ári síðan var greint frá því að Coldriver hefði skotið á þrjár bandarískar kjarnorkurannsóknarstofur. Eins og aðrir tölvuþrjótar, reynir Coldriver að yfirtaka tölvu fórnarlambsins með því að senda vefveiðarskilaboð sem endar með því að senda spilliforrit.
„Coldriver notar oft falsa reikninga, þykist vera sérfræðingur á ákveðnu sviði eða á einhvern hátt tengdan fórnarlambinu,“ bætti fyrirtækið við. „Falski reikningurinn er síðan notaður til að hafa samband við fórnarlambið, sem eykur líkurnar á að vefveiðaherferðin skili árangri, og sendir að lokum vefveiðatengil eða skjal sem inniheldur hlekkinn. Til að fá fórnarlambið til að setja upp spilliforritið sendir Coldriver skriflega grein á PDF formi þar sem hann biður um endurgjöf. Þó að hægt sé að opna PDF skjalið á öruggan hátt verður textinn inni dulkóðaður.
„Ef fórnarlambið svarar að það geti ekki lesið dulkóðaða skjalið svarar Coldriver reikningurinn með tengli, venjulega á skýjageymslu, á „afkóðun“ tól sem fórnarlambið getur notað,“ sagði Google í yfirlýsingu. „Þetta afkóðunartól, sem sýnir einnig falsað skjal, er í raun bakdyr.
Kallaður Spica, bakdyrnar eru fyrsta sérsniðna spilliforritið sem Coldriver þróaði, samkvæmt Google. Þegar spilliforritið hefur verið sett upp getur það framkvæmt skipanir, stolið kökum úr vafra notandans, hlaðið upp og hlaðið niður skrám og stolið skjölum úr tölvunni.
Google segir að það hafi „fylgst með notkun Spica eins langt aftur og í september 2023, en telur að Coldriver hafi notað bakdyrnar síðan að minnsta kosti í nóvember 2022. Alls fundust fjórar dulkóðaðar PDF tálbeitur, en Google tókst að draga aðeins út eitt Spica sýnishorn, sem kom sem tæki sem kallast „Proton-decrypter.exe“.
Fyrirtækið bætir við að markmið Coldriver hafi verið að stela skilríkjum notenda og hópa sem tengjast Úkraínu, NATO, akademískum stofnunum og frjálsum félagasamtökum. Til að vernda notendur hefur fyrirtækið uppfært Google hugbúnað til að loka fyrir niðurhal frá lénum sem tengjast Coldriver vefveiðaherferð.
Google birti skýrsluna mánuði eftir að bandarísk netþjónusta varaði við því að Coldriver, einnig þekktur sem Star Blizzard, „heldur áfram að nota spjótveiðiárásir með góðum árangri“ til að ná skotmörkum í Bretlandi.
„Síðan 2019 hefur Star Blizzard beinst að geirum eins og fræðasviði, varnarmálum, ríkisstofnunum, frjálsum félagasamtökum, hugveitum og stefnumótendum,“ sagði bandaríska netöryggis- og innviðaöryggisstofnunin. „Á árinu 2022 virðist starfsemi Star Blizzard hafa stækkað enn frekar til að ná til varnar- og iðnaðarmannvirkja, sem og aðstöðu bandaríska orkumálaráðuneytisins.
Lestu líka: