Группа российских государственных хакеров, известных тем, что нацелены на украинские организации, в последние месяцы случайно или намеренно расширила свою деятельность, позволив шпионскому вредоносному программному обеспечению на базе USB-носителей инфицировать организации в других странах.
Эта группа, известная под многими именами, в частности, Gamaredon, Primitive Bear, ACTINIUM, Armageddon и Shuckworm, действует по меньшей мере с 2014 года, и Служба безопасности Украины связывает ее с Федеральной службой безопасности России (ФСБ). Большинство поддерживаемых Кремлем группировок пытаются не попадать в поле зрения, но Gamaredon это не беспокоит, сообщает ArsTechnica. Его шпионские кампании, направленные на множество украинских организаций, легко выявить и связать с российским правительством. Кампании, как правило, вращаются вокруг вредоносного программного обеспечения, которое имеет целью получить как можно больше информации от объектов.
Одним из таких инструментов является червь, предназначенный для распространения с компьютера на компьютер через USB-накопители. Исследователи из Check Point Research отследили его под названием LitterDrifter, это вредоносное программное обеспечение написано на языке Visual Basic Scripting. LitterDrifter служит двум целям: распространяться с USB-накопителя на USB-накопитель и заражать устройства (в которые попали инфицированные флешки) вредоносным программным обеспечением, что постоянно связывается с командно-контрольными серверами, управляемыми Gamaredon.
Gamaredon продолжает сосредотачиваться на широком спектре украинских целей, но по природе USB-червя мы видим признаки заражения в разных странах, таких как США, Вьетнам, Чили, Польша и Германия. Кроме того, мы наблюдали признаки заражения в Гонконге. Все это может свидетельствовать о том, что, как и другие USB черви, LitterDrifter распространился за пределы запланированных целей.
– сообщили исследователи Check Point.
На изображении показано отслеживание отправки LitterDrifter на сервис VirusTotal, принадлежащий Alphabet (материнская компания Google). Сообщения на VirusTotal обычно поступают от людей или организаций, которые сталкиваются с незнакомым или подозрительным на вид программным обеспечением в своих сетях и хотят узнать, вредно ли оно. Данные свидетельствуют, что количество инфицирований в США, Вьетнаме, Чили, Польше и Германии вместе взятых может составить примерно половину поразивших организации в Украине.
Черви (worms) — это разновидность вредоносного ПО, которое распространяется, не требуя от пользователя никаких действий и известны своим взрывным ростом в экспоненциальном масштабе. Stuxnet, червь, созданный Агентством национальной безопасности США и их израильскими коллегами, стал обучающей историей для шпионских агентств.
Его создатели планировали заразить только относительно небольшое количество иранских объектов, участвующих в программе обогащения урана в этой стране. Stuxnet распространился далеко и широко, заразив примерно 100 000 компьютеров по всему миру. Еще больше компьютеров заразили черви, которым не нужны USB-приводы для распространения, таких как NotPetya и WannaCry.