Група російських державних хакерів, відомих тим, що націлені на українські організації, в останні місяці випадково чи навмисно розширила свою діяльність, давши змогу шпигунському шкідливому програмному забезпеченню на базі USB-носіїв інфікувати організації в інших країнах.
Ця група, відома під багатьма іменами, зокрема Gamaredon, Primitive Bear, ACTINIUM, Armageddon і Shuckworm, діє щонайменше з 2014 року, і Служба безпеки України пов’язує її з Федеральною службою безпеки росії (ФСБ). Більшість підтримуваних Кремлем угруповань намагаються не потрапляти в поле зору, але Gamaredon це не турбує, повідомляє ArsTechnica. Його шпигунські кампанії, спрямовані на велику кількість українських організацій, легко виявити та пов’язати з російським урядом. Кампанії, як правило, обертаються навколо шкідливого програмного забезпечення, яке має на меті отримати якомога більше інформації від об’єктів.
Одним з таких інструментів є черв’як, призначений для поширення з комп’ютера на комп’ютер через USB-накопичувачі. Дослідники з Check Point Research відстежили його під назвою LitterDrifter, це шкідливе програмне забезпечення написано мовою Visual Basic Scripting. LitterDrifter слугує двом цілям: поширюватися з USB-накопичувача на USB-накопичувач і заражати пристрої (до яких потрапили інфіковані флешки) шкідливим програмним забезпеченням, яке постійно зв’язується з командно-контрольними серверами, керованими Gamaredon.
Gamaredon продовжує зосереджуватися на широкому спектрі українських цілей, але через природу USB-черв’яка ми бачимо ознаки зараження в різних країнах, як-от США, В’єтнам, Чилі, Польща та Німеччина. Крім того, ми спостерігали ознаки зараження в Гонконзі. Все це може свідчити про те, що, як і інші USB-черв’яки, LitterDrifter поширився за межі запланованих цілей.
— повідомили дослідники Check Point.
На зображенні показано відстеження відправлення LitterDrifter на сервіс VirusTotal, що належить Alphabet (материнська компанія Google). Повідомлення на VirusTotal зазвичай надходять від людей або організацій, які стикаються з незнайомим або підозрілим на вигляд програмним забезпеченням у своїх мережах і хочуть дізнатися, чи є воно шкідливим. Дані свідчать про те, що кількість інфікувань у США, В’єтнамі, Чилі, Польщі та Німеччині разом узятих може становити приблизно половину від тих, що вразили організації в Україні.
Черв’яки (worms) — це різновид шкідливого програмного забезпечення, яке поширюється, не вимагаючи від користувача жодних дій і відомі своїм вибуховим зростанням в експоненціальному масштабі. Stuxnet, хробак, створений Агентством національної безпеки США та їх ізраїльськими колегами, став повчальною історією для шпигунських агентств.
Його творці планували заразити лише відносно невелику кількість іранських об’єктів, що беруть участь у програмі збагачення урану в цій країні. Натомість Stuxnet поширився далеко і широко, заразивши приблизно 100 000 комп’ютерів по всьому світу. Ще більше комп’ютерів заразили черв’яки, яким не потрібні USB-приводи для розповсюдження, як-от NotPetya і WannaCry.