Група хакерів Sandworm, яка підпорядковується російським силовикам, атакує користувачів Windows в Україні за допомогою троянських програм-активаторів Microsoft Key Management Service (KMS) та фейкових оновлень Windows. Кіберексперти зазначають, що такий метод атаки росіяни обрали через широке використання піратського софту в Україні, навіть в держсекторі.
Група хакерів Sandworm, яка підпорядковується російським силовикам, атакує користувачів Windows в Україні за допомогою троянських програм-активаторів Microsoft Key Management Service (KMS) та фейкових оновлень Windows. Кіберексперти зазначають, що такий метод атаки росіяни обрали через широке використання піратського софту в Україні, навіть в держсекторі.
Ці атаки, ймовірно, розпочалися наприкінці 2023 року, і тепер аналітики загроз EclecticIQ пов’язують їх з хакерами Sandworm на основі інфраструктури, що перетинається, послідовних тактик, методів і процедур (TTP), а також часто використовуваних облікових записів ProtonMail для реєстрації доменів, що використовуються в атаках. Про це пише Bleeping Computer.
Зловмисники також використовували завантажувач BACKORDER для розгортання шкідливого програмного забезпечення DarkCrystal RAT (DcRAT) (яке використовувалося в попередніх атаках Sandworm), і символи, що посилаються на російськомовне середовище збірки. Це ще більше зміцнило впевненість дослідників у причетності російських військових хакерів.
EclecticIQ виявила сім кампаній з розповсюдження шкідливого програмного забезпечення, пов’язаних з одним і тим же кластером шкідливої активності, кожна з яких використовувала схожі приманки й TTP. Минулого місяця, аналітики спостерігали атаки, під час яких жертви заражалися трояном для віддаленого доступу DcRAT.
Після розгортання на пристрої жертви троянський KMS відображає фальшивий інтерфейс активації Windows, встановлює завантажувач шкідливого програмного забезпечення та відключає Windows Defender у фоновому режимі перед тим, як доставити кінцеве зловмисне ПЗ RAT.
KMS (Key Management Service) — це служба на сервері Windows, яка дозволяє клієнтським комп’ютерам автоматично активувати Windows без втручання користувача. Зазвичай використовується в компаніях і організаціях з великою кількістю комп’ютерів на базі Windows.
Активатори KMS — це хакерські програми, які дозволяють безплатно розблокувати платний функціонал операційних систем Windows та офісних програм від Microsoft.
Метою зловмисників є збір конфіденційної інформації з інфікованих комп’ютерів і відправка її на підконтрольні сервери. Шкідливе програмне забезпечення викрадає натискання клавіш, файли cookie браузера, історію браузера, збережені облікові дані, облікові дані FTP, системну інформацію та скриншоти.
Відзначається, що в Sandworm вирішили використовувати шкідливі активатори Windows через широкий простір для атак, який відкрився завдяки великому використанню піратського програмного забезпечення в Україні, «яке також вразило урядовий сектор країни».
«Багато користувачів, в тому числі підприємств та критично важливих організацій, використовують піратське програмне забезпечення з ненадійних джерел, надаючи таким зловмисникам, як Sandworm (APT44), чудову можливість вбудовувати шкідливе програмне забезпечення в широко використовувані програми. Така тактика уможливлює широкомасштабне шпигунство, крадіжку даних та компрометацію мереж, що безпосередньо загрожує національній безпеці України, критичній інфраструктурі та стійкості приватного сектору», — зазначають в EclecticIQ.
Раніше стало відомо, що один із документів оновленого законопроєкту про мобілізацію, який можна завантажити із сайту Верховної Ради, ймовірно, був створений у «зламаному» Microsoft Office. На це вказують його метадані, де є згадка Reanimator Extreme Edition.
Sandworm діє щонайменше з 2009 року і входить до складу військової частини 74455 Головного розвідувального управління (ГРУ), російської військової розвідки, яка в основному спеціалізується на здійсненні атак на Україну.
Раніше вони уже кілька разів зламували українські електромережі. У 2022 році вони поєднували свою кібератаку з ракетними ударами російських окупантів.
У грудні 2023 року в роботі «Київстар», який має 24 млн абонентів, стався масштабний збій, через який не працює зв’язок і сайт оператора. Згодом CPO «Київстар» підтвердив хакерську атаку на компанію. Абонентам, які не мали зв’язку, пообіцяли компенсацію.
Відповідальність за цю атаку на «Київстар» взяла на себе група російських хакерів «Солнцепьок». Раніше вони атакували «Суспільне», провайдерів і Мінрозвитку громад. Раніше CERT-UA пов’язували діяльність цих хакерів з Sandworm.
