CERT-UA, урядова команда реагування на комп’ютерні надзвичайні події України, що працює в складі Держспецзв’язку, повідомила про серію кібератак, спрямованих на українських військових, які використовують месенджер Signal.
CERT-UA, урядова команда реагування на комп’ютерні надзвичайні події України, що працює в складі Держспецзв’язку, повідомила про серію кібератак, спрямованих на українських військових, які використовують месенджер Signal.
У CERT-UA розповіли, що наприкінці грудня отримали інформацію від фахівців кібербезпекової компанії Trendmicro про виявлення підозрілих файлів, більшість із яких стосувалася тематики війни. Це призвело до виявлення серії кібератак, які під виглядом рекрутингу до 3-тьої окремої штурмової бригади й Армії оборони Ізраїлю (ЦАХАЛ) проводяться проти військовослужбовців Збройних Сил України.
Кібератаки відбувалися в Signal, де проводилося розповсюдження архівів із LNK-файлами. Їхній запуск ініціює ланцюг ураження шкідливими програмами REMCOSRAT і REVERSESSH, що призводить до створення технічних умов несанкціонованого віддаленого доступу до пристрою для зловмисників.
«Як правило, згадані файли-ярлики містять обфусковану команду для завантаження й запуску за допомогою mshta.exe HTA-файлу, у якому розміщений обфускований програмний код. Своєю чергою VBScript-код здійснить запуск PowerShell-команди, що призначена для розшифрування (AES-128-ECB), декомпресії (GZIP) і запуску PowerShell-сценарію. Останній забезпечить завантаження й запуск файлу (-ів) шкідливої програми, а також документ-приманку (PDF або DOCX). Водночас назви та вміст таких документів є також дуже релевантними для військових: „опитування полоненого“, „геолокації“, „команди кодування“, „позивні“ тощо», — вказують фахівці CERT-UA.
Вони зазначили, що описана активність «за іншими специфічними ознаками» є окремим кластером кіберзагроз і відстежується за ідентифікатором UAC-0184.
Месенджер Signal є популярним серед українських військових як безпечніша й захищеніша альтернатива Telegram.
Нагадаємо, що нещодавно на російському телебаченні показали сюжет, згідно з яким росія має змогу читати видаленні повідомлення в Telegram.
Раніше співзасновник Petcube Ярослав Ажнюк запустив проєкт Kremlingram для дослідження зв’язків Telegram із Кремлем.
