„GoStealer“ kenkėjiška programa skirta Indijos kariuomenei

Saugumo tyrinėtojai atskleidė sudėtingą kibernetinio šnipinėjimo incidentą, nukreiptą prieš Indijos oro pajėgas. Kibernetinė ataka prieš Indijos oro pajėgas apima gerai žinomos „Go Stealer“ – kenkėjiškos programinės įrangos, sukurtos slaptai išgauti neskelbtiną informaciją, variantą.

Kenkėjiška programinė įranga, platinama per apgaulingai pavadintą ZIP failą, pažymėtą „SU-30_Aircraft_Procurement“, naudoja naujausius gynybos pirkimų pranešimus, ypač 2023 m. rugsėjo mėn. Indijos gynybos ministerijos patvirtintą 12 naikintuvų Su-30 MKI.

Remiantis „Cyble Research“ ir „Intelligence Labs“ išvadomis, užpuolikai vykdo savo planą atlikdami kruopščiai suplanuotus veiksmus. Jie naudoja anoniminę failų saugojimo platformą, vadinamą Oshi, kad priglobtų apgaulingą ZIP failą, užmaskuodami jį kaip svarbią gynybos dokumentaciją. Tikėtina, kad nuoroda „hxxps://oshi[.]at/ougg“ platinama el. paštu ar kitais komunikacijos kanalais.

Užkrėtimo seka pereina iš ZIP failo į ISO failą, po kurio eina .lnk failas, o tai galiausiai lemia „Go Stealer“ naudingojo krovinio diegimą. Išnaudodami padidėjusią įtampą, susijusią su gynybos pirkimais, užpuolikai siekia suvilioti Indijos oro pajėgų profesionalus netyčia suaktyvinti kenkėjišką programą.

„GoStealer“ gauna atnaujinimą

Nustatytame „Go Stealer“ variante, kuris skiriasi nuo „GitHub“ analogo, yra pažangių funkcijų, kurios padidina grėsmės lygį. Šis variantas, užkoduotas „Go“ programavimo kalba ir paremtas atvirojo kodo „Go Stealer“ iš „GitHub“, turi patobulinimų, įskaitant išplėstą naršyklės taikymą ir naują duomenų išfiltravimo per „Slack“ metodą.

Vykdydamas vagystę, aukos sistemoje sukuria žurnalo failą, naudodamas GoLang įrankius, tokius kaip GoReSym, kad būtų atlikta išsami analizė. Kenkėjiška programa yra sudėtingai sukurta siekiant išgauti prisijungimo duomenis ir slapukus iš konkrečių interneto naršyklių, įskaitant Google Chrome, Edge ir Brave.

Skirtingai nuo įprastų informacijos vagysčių, šis variantas pasižymi didesniu rafinuotumu, nes slaptam ryšiui naudoja Slack API. „Slack“ kaip komunikacijos kanalo pasirinkimas suderinamas su plačiai paplitusiu įmonės tinkluose, todėl kenkėjiška veikla sklandžiai susilieja su įprastu verslo srautu.

Identifikuotas „Go Stealer“, platinamas per klaidinantį ZIP failą pavadinimu „SU-30_Aircraft_Procurement“, kelia didelę grėsmę Indijos gynybos personalui. Atakos laikas, sutampantis su Indijos vyriausybės pranešimu apie naikintuvų Su-30 MKI pirkimą, kelia susirūpinimą dėl tikslinių atakų ar šnipinėjimo.