Кібершпигун атакує спецслужби України

Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про розкриття масштабної кібератаки з використанням шпигунського програмного забезпечення Win32/Potao, націленої на уряд та військові відомства України. Розслідування показало, що шкідлива кампанія з використанням даної загрози триває вже чотири роки.

Шкідливе сімейство Potao відноситься до троянських програм, призначених для крадіжки паролів та конфіденційної інформації, а також пересилання отриманих даних на віддалений сервер. Таким чином, загроза Win32/Potao представляє собою потужний інструмент для кібершпіонажу. Атаки, які здійснюються за допомогою даного програмного забезпечення, відносяться до типу постійних загроз підвищеної складності (Advanced Persistent Threat) та використовуються злочинцями для здійснення масштабних цілеспрямованих кіберкампаній.

Найбільша кількість заражень була виявлена в Україні, а також інших країнах СНД, у тому числі Росії, Грузії та Білорусії.

Перші атаки з використанням Potao були здійснені ще в 2011 році. Потенційні жертви отримували SMS-повідомлення зі шкідливим посиланням, перехід за яким запускав завантаження вірусу. На той час загроза залишилась поза увагою. У 2014-2015 роках, згідно з даними ESET LiveGrid, кількість заражень значно збільшилася. На думку експертів ESET, підвищення активності даної загрози пов'язане з оновленням механізму зараження — тепер шпигунська програма може здійснювати атаку, використовуючи змінні USB-носії, а також маскуватися під документи Word та Excel.

У 2014 році «Операція Potao» почала активно розгортатися в Україні, за принципом вже відомої загрози BlackEnergy, а в березні 2015 року спеціалісти ESET виявили зразки даної шкідливої програми на деяких стратегічних об'єктах, включаючи уряд, військові структури та велике інформаційне агентство. Атаки здійснювались за допомогою фішингових повідомлень електронної пошти зі шкідливими вкладеннями —файлами під виглядом документів Microsoft Word з назвами, які привертали увагу.

Також в ході розслідування експертами ESET було виявлено, що Potao використовується для здійснення шпигунства за членами МММ — фінансовий піраміди, популярної в Росії та Україні.

Крім того, спеціалісти ESET виявили ще один цікавий факт про Win32/Potao. Був виявлений зв'язок з TrueCrypt — безкоштовною програмою для шифрування даних. У деяких випадках з ресурсу truecryptrussia.ru користувачі завантажували заражений додаток, який містив в собі бекдор для здійснення цілеспрямованої атаки. Оскільки інші зразки програми не були інфіковані, можна зробити висновок, що кіберзлочинці вибирали жертв за певними критеріями. Продукти ESET виявляють дану загрозу як Win32/FakeTC. За даними зі звіту ESET, російський ресурс truecryptrussia.ru також виступав у ролі сервера для управління та контролю за бекдором (С&С).

20 липня 2015 року в Грузії була виявлена нова атака Potao, під час якої інфікування здійснювалось вже за допомогою pdf-файлу. Це говорить про те, що дана кібергрупа активно продовжує свою шкідливу діяльність. У зв'язку з цим спеціалісти ESET настійно рекомендують користувачам бути дуже обережними, не відкривати підозрілі вкладення та не переходити за посиланнями, отриманими з невідомих джерел, а також використовувати надійні комплексні антивірусні рішення.