Polityka i prawo
Ukraiński CERT ostrzega przed możliwym rosyjskim cyberatakiem na dużą skalę
Ukraiński CERT ostrzega przed możliwym rosyjskim cyberatakiem na dużą skalę po wykryciu aktywności złośliwego oprogramowania Pterodo powiązanego z grupą hakerów Gamaredon, które znaleziono na komputerach urzędników państwowych.
Pterodo to oprogramowanie umożliwiające implementację tzw. tylnych drzwi do systemu operacyjnego na komputerach, które działają w oparciu o Windowsa.
Grupa cyberprzestępcza Gamaredon, która posługiwała się Pterodo w przeszłości, związana jest ściśle z rosyjską Federalną Służbą Bezpieczeństwa - twierdzi ukraiński CERT, który wykrył Pterodo wspólnie z ukraińską służbą wywiadu zagranicznego.
Wirus, który wykryto na rządowych komputerach w Kijowie, jest zmodyfikowany tak, by zbierał dane systemowe i regularnie przesyłał je na kontrolowane przez cyberprzestępców serwery - poinformowali przedstawiciele CERT-u.
Do tej pory oprogramowanie to znane także jako Pterodon było wykorzystywane przede wszystkim do ataków na cele związane z wojskiem i administracją rządową. Wirus służy głównie do instalacji innego złośliwego oprogramowania, a także do gromadzenia informacji na temat zainfekowanego urządzenia i sieci, w której ono działa.
Wykryta przez ukraiński CERT wersja działa jedynie na komputerach z Windowsem, których lokalizacja językowa związana jest z krajami byłego bloku republik radzieckich, takimi jak Ukraina, Białoruś, Rosja, Armenia, Azerbejdżan, czy Uzbekistan. Jak twierdzą eksperci, znacznie utrudnia to analizę wsteczną tej wersji wirusa.
Nowa wersja Pterodo generuje unikalne linki dla komend zdalnego sterowania, które powiązane są z numerem seryjnym zainfekowanego dysku i systemu na nim działającego. Dane na temat systemu przesyłane są na konkretny serwer, dzięki czemu hakerzy mogą dokładnie sprofilować zapotrzebowanie na narzędzia niezbędne do działań wobec konkretnej ofiary - podał serwis.
Ars Technica zauważa, że odkrycie nowej wersji rosyjskiego złośliwego oprogramowania zbiegło się w czasie z doniesieniami ekspertów z firmy FireEye, którzy informowali o nowej aktywności rosyjskiej grupy hakerskiej Cozy Bear, prowadzącej obecnie działania w ramach zorganizowanej kampanii phishingowej, nakierowanej przede wszystkim na przedstawicieli władz USA. Grupa Cozy Bear również ma powiązania z FSB, przypomina Ars Technica - a wyprodukowane przez nią oprogramowanie było częścią działań rosyjskich hakerów prowadzonych przed wyborami prezydenckimi w USA z 2016 roku, jak i ataków na podmioty związane z NATO.
