Разделы
Материалы

РФ необычным способом взламывает устройства ВСУ, подключенные к Starlink: как остановить

Александр Залата
Фото: "Армия Информ" | Украинские военные пользуются интернетом Starlink на фронте

Группа Secret Blizzard могла получить ценную информацию о защитниках Украины, выполнив сложную атаку.

Российские хакеры, работающие на государство, необычным способом взламывают устройства, которые украинские военные подключают к спутниковому интернету Starlink на передовой. Об этом специалисты американской корпорации Microsoft сообщили на официальном сайте 11 декабря.

Они обнаружили, что группа, известная под названиями Secret Blizzard, Turla, Waterbug, Snake и Venomous Bear использовала серверы и вредоносное программное обеспечение других хакерских организаций, в частности, Storm-1837, причастной к отслеживанию украинских операторов дронов. Неизвестно, как она получила доступ к этой инфраструктуре, вероятно, украли или приобрели доступ.

С марта по апрель 2024 года Secret Blizzard использовала вредоносное программное обеспечение Amadey, связанное с группой Storm-1919, для поражения устройств украинской армии с помощью дроппера PowerShell. Конечной целью было установить"бэкдор" для поиска интересных целей. В одном из образцов бота Amdey Microsoft обнаружила информацию, собранную из буферов обмена устройств и пароли из браузеров. Кроме того ПО проверяло наличие антивирусных программ.

Затем он устанавливал специальный инструмент разведки, который выборочно разворачивался на устройствах, которые заинтересовали хакеров, например, на ноутбуках, которые подключаются к спутниковому интернету Starlink — им Силы обороны Украины массово пользуются на фронтах. После этого россияне устанавливали "вирус" Tavdig для сбора ценной информации о пользователе и установки собственных настроек.

В январе 2024 года корпорация Майкрософт заметила в Украине устройство военного назначения, взломанное "вирусом" Storm-1837, настроенным на использование API Telegram для запуска командлета с учетными данными (предоставляются как параметры) для учетной записи на платформе обмена файлами Mega. Вероятно, он заставлял пораженную систему загружать и запускать файлы.

Microsoft обратила внимание: тогда был использован дроппер PowerShell, очень похожий на тот, что наблюдался во время использования ботов Amadey, и содержал два файла в кодировке base64, содержащих ранее упомянутый Tavdig (rastls.dll) и бинарный файл Symantec (kavp.exe).

По мнению специалистов, Secret Blizzard развернула инструменты на пораженных средствах и встроила в них новые функции, чтобы сделать их более эффективными для шпионажа за украинскими военными. Кроме того, Secret Blizzard, вероятно, также пыталась использовать эти точки для расширения доступа к уровню министерства.

Для защиты сетей пользователям порекомендовали включить и настроить защитную программу Microsoft Defender. В нем можно применить дополнительные правила:

  • блокировать выполнение потенциально опасных сценариев;
  • Блокировать создание процессов, происходящих от команд PSExec и WMI;
  • блокировать запуск исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка надежных;
  • блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами;
  • блокировать создание Webshell для серверов;
  • защита от несанкционированного доступа;
  • обнаружение и исправление в автоматическом режиме.

Накануне в Беларуси заявили о создании своего аналога Starlink под названием "Кулиса". Эксперты обнаружили, что оборудование собрано из китайских деталей гражданского класса, а потому качество его работы будет значительно ниже.