Притворились вербовщиками ЦАХАЛ и 3 ОШБр: хакеры атаковали украинских военных в Signal
Во время кибератак преступники распространяли архивы файлов LNK. Они запускали вредоносные программы REMCOSRAT и REVERSESSH для несанкционированного доступа к устройствам.
CERT-UA, правительственная команда реагирования на компьютерные чрезвычайные события Украины, сообщила о серии кибератак, направленных на украинских военных через мессенджер Signal. Информация об этом появилась на официальном сайте организации.
По данным команды реагирования, в конце декабря эксперты по кибербезопасности из компании Trendmicro получили информацию об обнаружении подозрительных файлов. В результате была обнаружена серия кибератак, направленных против военнослужащих Вооруженных сил Украины под видом вербовки в 3-ю отдельную штурмовую бригаду и Армию обороны Израиля (ЦАХАЛ).
Кибератаки проводились в мессенджере Signal, где распространялись архивы файлов LNK. Эти файлы запускают цепочку заражения вредоносными программами REMCOSRAT и REVERSESSH, создавая технические условия для несанкционированного удаленного доступа к устройствам злоумышленников.
Файлы-ярлыки содержали обфускованные команды для загрузки и запуска HTA-файла, в котором был обфускованный код, запускавший PowerShell-команду для расшифровки, декомпрессии и запуска вредоносного PowerShell-сценария. Этот сценарий в свою очередь загружал и запускал файлы вредоносной программы и документ-приманки.
Специалисты CERT-UA отметили, что названия и содержание таких документов были очень релевантны для военных. Пока не известно кто стоит за этой серией кибератак, однако этот инцидент подчеркнул важность обеспечения кибербезопасности военных украинской армии, отметили представители правительственной команды.
Отметим, что Signal — клиентское приложение для обмена мгновенными сообщениями и интернет-телефонии со свободным и открытым исходным кодом. Основной акцент в разработке делается на конфиденциальность и безопасность. До ноября 2015 года приложение называлось TextSecure и позволяло лишь обмениваться мгновенными сообщениями.
Напомним, в начале сентября мы писали о том, что хакеры взламывают смартфоны украинцев через фейковые Telegram и Signal. Приложения появились даже в официальном магазине Google Play Store. Вредоносное ПО оттуда недавно удалили, но оно все равно представляет опасность.
Ранее Фокус также сообщал, что российские хакеры взламывают телефоны бойцов ВСУ, чтобы узнать военные планы. Вредоносный код российских хакеров был разработан для кражи данных, отправляемых с мобильных устройств через спутниковый интернет Starlink.