Русских хакеров обвинили в атаках на западную военную миссию
Изображение: recraft
На фоне обострившегося внимания к информационной безопасности в зонах военного конфликта, аналитики компании Symantec сообщили о цифровой атаке, нацеленной на одну из западных военных миссий, действующих на украинской территории. По их данным, в ходе предполагаемой кибероперации использовалось вредоносное программное обеспечение, связанное с группировкой, которую принято связывать с Россией и обозначать как Gamaredon или Shuckworm.
Исследование, подготовленное специалистами Symantec, описывает события, которые, как полагают, начались в феврале 2025 года и продлились до марта. В этот период злоумышленники развернули обновлённую модификацию программы GammaSteel, способной похищать конфиденциальную информацию. По утверждению аналитиков, заражение, вероятнее всего, происходило через съёмные накопители, содержащие файлы с расширением .LNK. Применение этого метода уже фиксировалось в деятельности Gamaredon ранее, что позволило экспертам провести параллели с предыдущими инцидентами.
По словам специалистов, исследование показало изменения в тактике предполагаемой группировки. Прежние скрипты на языке VBS были заменены инструментами PowerShell, заметно увеличилась степень запутанности кода, а также активизировалось использование легитимных онлайн-сервисов. Всё это указывает на попытки уклониться от обнаружения и повысить эффективность кибератак.
Один из признаков взлома был обнаружен в разделе Windows-реестра под названием UserAssist. Здесь появилось новое значение, намекающее на запуск файла под названием files.lnk с внешнего носителя. Как уточнили аналитики, дальнейшее развитие атаки происходило с помощью сложного скрипта, запускавшего два файла. Первый элемент устанавливал связь с удалёнными серверами, применяя законные онлайн-инструменты, в том числе ресурсы Cloudflare, для разрешения адресов и подключения по защищённым протоколам.
Второй файл играл роль распространителя заражения. Он копировал вредоносные файлы на другие съёмные носители и сетевые диски, параллельно скрывая системные каталоги и файлы, что позволяло злоумышленникам оставаться незамеченными.
Кроме того, в арсенале использовался разведывательный PowerShell-скрипт, способный делать скриншоты экрана заражённого устройства, а также собирать информацию о защитных программах, установленных файлах и активных процессах.
На заключительном этапе применялась новая версия GammaSteel, интегрированная в системный реестр Windows. Эта программа могла похищать документы популярных форматов — .DOC, .PDF, .XLS, .TXT — из папок, вроде «Рабочего стола», «Документов» и «Загрузок». Аналитики подчёркивают, что подобный интерес к содержимому персональных устройств свидетельствует о приоритетах группы в сфере информационной разведки.
Финальным этапом атаки являлось применение системной утилиты ‘certutil.exe’ для хэширования файлов, после чего данные пытались передавать при помощи PowerShell-запросов. В тех случаях, когда этот способ не срабатывал, злоумышленники, по информации исследователей, прибегали к инструменту cURL, используя маршрутизацию через сеть Tor для скрытой пересылки собранной информации.
