Backdoor SPICA powiązany z rosyjskim kolektywem hakerskim
Grupa ds. analizy zagrożeń (TAG) w Google ujawniła, że rosyjska grupa hakerska COLDRIVER zajmuje się wyłudzaniem danych uwierzytelniających, którego celem są czołowe organizacje pozarządowe, były personel wywiadu i wojska, a także rządy NATO.
TAG aktywnie monitoruje i raportuje działania szpiegowskie COLDRIVER zgodne z interesami rosyjskiego rządu. Starając się zwiększyć świadomość społeczności na temat działań COLDRIVER, Wesley Shields z TAG podkreślił ich rozszerzone możliwości, które obecnie obejmują wdrażanie złośliwego oprogramowania.
COLDRIVER prowadzi kampanie przeciwko Ukrainie, państwom NATO, instytucjom akademickim i organizacjom pozarządowym. Grupa często przyjmuje postać ekspertów lub osób powiązanych z celem, aby zdobyć zaufanie swoich ofiar.
TAG zaobserwował, że COLDRIVER wysyła pozornie nieszkodliwe dokumenty PDF z kont podszywania się, prezentując je jako artykuły lub artykuły oczekujące na opinię w celu publikacji. Po otwarciu plików PDF okazuje się, że tekst jest zaszyfrowany.
Jeśli cel ma trudności z odczytaniem dokumentu, konto podszywające odpowiada łączem podającym się za narzędzie do „odszyfrowywania”. Jednakże narzędzie to jest w rzeczywistości backdoorem znanym jako SPICA, zapewniającym atakującym dostęp do komputera ofiary.
Czym dokładnie jest backdoor SPICA?
Szkodliwe drzwi typu backdoor SPICA to narzędzie dla klientów napisane w języku Rust, wykorzystujące komunikację za pośrednictwem protokołu internetowego do wydawania poleceń i kontrolowania dotkniętych urządzeń. Umożliwia atakującym wykonywanie różnych poleceń na zainfekowanych urządzeniach, takich jak uruchamianie dowolnych poleceń powłoki, kradzież plików cookie z przeglądarek takich jak Chrome, Firefox, Opera i Edge, przesyłanie i pobieranie plików, uzyskiwanie dostępu do systemu plików i eksfiltracja dokumentów.
Google wykorzystuje ustalenia TAG do zwiększania bezpieczeństwa i ochrony swoich produktów. Zidentyfikowane strony internetowe, domeny i pliki są integrowane z protokołami bezpiecznego przeglądania, aby zapobiec dalszemu wykorzystaniu. TAG powiadamia także wybranych użytkowników Gmaila i Workspace o potencjalnych atakach i zachęca ich do korzystania z ulepszonego bezpiecznego przeglądania w celu zapewnienia dodatkowej ochrony.