„SPICA Backdoor“ susieta su Rusijos įsilaužėlių kolektyvu
„Google“ grėsmių analizės grupė (TAG) atskleidė, kad Rusijos įsilaužėlių grupė COLDRIVER užsiima sukčiavimu, nukreipta į žymias NVO, buvusius žvalgybos ir karinius darbuotojus, taip pat NATO vyriausybes.
TAG aktyviai stebėjo ir praneša apie COLDRIVER šnipinėjimo pastangas, suderintas su Rusijos vyriausybės interesais. Siekdamas padidinti bendruomenės informuotumą apie COLDRIVER veiklą, Wesley Shields iš TAG pabrėžė savo išplėstines galimybes, kurios dabar apima kenkėjiškų programų diegimą.
COLDRIVER vykdo kampanijas prieš Ukrainą, NATO šalis, akademines institucijas ir NVO. Grupė dažnai prisidengia ekspertų ar asmenų, susijusių su taikiniu, vaizdu, kad įgytų aukų pasitikėjimą.
TAG pastebėjo, kad COLDRIVER siunčia iš pažiūros nekenksmingus PDF dokumentus iš apsimetinėjimo paskyrų, pateikdama juos kaip leidinius arba straipsnius, ieškančius atsiliepimų, kad būtų galima paskelbti. Atidarius PDF, tekstas yra užšifruotas.
Jei taikinys išreiškia sunkumų skaitant dokumentą, apsimetinėjimo paskyra atsako pateikdama nuorodą, teigiančią, kad tai yra „iššifravimo“ priemonė. Tačiau ši priemonė iš tikrųjų yra užpakalinės durys, žinomos kaip SPICA, suteikiančios užpuolikams prieigą prie aukos mašinos.
Kas tiksliai yra SPICA Backdoor?
SPICA užpakalinių durų kenkėjiška programa yra kliento įrankis, parašytas Rust, naudojant žiniatinklio lizdo ryšį paveiktiems įrenginiams valdyti ir valdyti. Tai leidžia užpuolikams vykdyti įvairias komandas užkrėstuose įrenginiuose, pvz., paleisti savavališkas apvalkalo komandas, pavogti slapukus iš naršyklių, pvz., „Chrome“, „Firefox“, „Opera“ ir „Edge“, įkelti ir atsisiųsti failus, pasiekti failų sistemą ir išfiltruoti dokumentus.
„Google“ naudoja TAG išvadas, kad padidintų savo produktų saugą ir saugumą. Nustatytos svetainės, domenai ir failai yra integruoti į saugaus naršymo protokolus, kad būtų išvengta tolesnio išnaudojimo. TAG taip pat praneša tiksliniams „Gmail“ ir „Workspace“ naudotojams apie galimas atakas ir skatina juos naudoti patobulintą saugų naršymą, kad būtų užtikrinta papildoma apsauga.