Як російські хакери зламують пристрої, підключені до Starlink в Україні
Російські хакери, які працюють на державу, незвичайним способом зламують пристрої, які українські військові підключають до супутникового інтернету Starlink на передовій.
Про це пише Arstechnica.
Щонайменше у двох випадках цього року російська хакерська група, яку відстежують під іменами Turla, Waterbug, Snake і Venomous Bear, використовувала сервери і шкідливе програмне забезпечення для атак, спрямованих проти українських військових на передовій, повідомила корпорація Microsoft.
В одному випадку Secret Blizzard — назва, яку Microsoft використовує для відстеження групи — використовувала інфраструктуру групи кіберзлочинців, відстежуваної як Storm-1919. В іншому випадку Secret Blizzard привласнила ресурси Storm-1837, причетної до відстеження українських операторів дронів. Невідомо, як вона отримала доступ до цієї інфраструктури.
З березня по квітень цього року Secret Blizzard використовував Amadey, бота Storm-1919, який зазвичай використовується в атаках, що розгортають криптовалютний додаток XMRIG на цільових серверах в кампаніях криптоджекінгу. Такі кампанії проводяться злочинними угрупованнями, які заробляють на майнінгу, використовуючи ресурси жертв.
«За оцінками Microsoft, Secret Blizzard або використовував шкідливе програмне забезпечення Amadey як послугу (MaaS), або таємно отримував доступ до командно-контрольних панелей Amadey (C2), щоб завантажити PowerShell-дроппер на цільові пристрої», — повідомили в Microsoft. «Дроппер PowerShell містив закодоване в Base64 корисне навантаження Amadey, доповнене кодом, який викликав запит до інфраструктури Secret Blizzard C2».
Кінцевою метою було встановити Tavdig, бекдор Secret Blizzard, який використовується для проведення розвідки об'єктів, що становлять інтерес. У зразку Amdey Microsoft виявила зібрану інформацію з буферів обміну пристроїв і зібрані паролі з браузерів. Потім він встановлював спеціальний інструмент розвідки, який «вибірково розгортався на пристроях, що становлять подальший інтерес для суб'єкта загрози — наприклад, на пристроях, що виходять з IP-адрес STARLINK».
Коли Secret Blizzard вирішував, що ціль має високу цінність, він встановлював Tavdig для збору інформації, включаючи «інформацію про користувача, мережеву статистику та встановлені патчі, а також для імпорту налаштувань реєстру на скомпрометований пристрій».
Раніше цього року, за даними Microsoft, дослідники компанії спостерігали, як Secret Blizzard використовувала інструменти, що належать Storm-1887, також і для атак на українських військових.
