Исследователи Google говорят, что есть свидетельства того, что печально известная связанная с Россией хакерская группа, отслеживаемая как «ColdRiver», меняет свою тактику от фишинга к вредоносному ПО, нацеленному на кражу данных.
ColdRiver, также известная как «CallistoGroup» и «StarBlizzard», известна своей многолетней шпионской деятельностью против стран НАТО, особенно США и Великобритании.
Исследователи полагают, что деятельность группировки часто направлена против высокопоставленных лиц и организаций, занимающихся международными делами и обороной, что указывает на ее тесные связи с Россией. В декабре прокуратура США предъявила двум россиянам обвинения в связях с группировкой.
В новом исследовании, проведенном на этой неделе, группа анализа угроз Google (TAG) заявила, что наблюдала, как ColdRiver активизирует свою деятельность в последние месяцы и использует новую тактику, способную нанести больший ущерб своим жертвам, в первую очередь целям в Украине и ее союзникам по НАТО, академическим учреждениям и неправительственным организациям.
Эти последние результаты появились вскоре после того, как исследователи Microsoft сообщили, что связанная с Россией хакерская группа улучшила свои возможности уклоняться от обнаружения.
Исследователи TAG поделились результатами исследования перед его публикацией в четверг, в которых они отметили, что ColdRiver отошла от своей обычной тактики фишинга учетных данных и вместо этого распространяет вредоносное ПО посредством кампаний, использующих PDF-документы в качестве приманки.
TAG сообщила, что с ноября 2022 года ColdRiver отправила адресатам ряд PDF-документов, которые замаскированы под статьи для редактирования мнений или другие типы статей, и обманутые аккаунты надеются получить отзывы об этих статьях.
Когда жертва открывает безопасный PDF-файл, текст оказывается зашифрованным. Если жертва отвечает, что не может прочитать документ, хакеры отправляют ссылку на инструмент «дешифрования», который, по словам исследователей Google, представляет собой специальный бэкдор, отслеживаемый как «SPICA». В Google заявили, что это первое вредоносное ПО, разработанное и используемое ColdRiver. Этот бэкдор позволяет злоумышленникам постоянно получать доступ к компьютеру жертвы, выполнять команды, красть файлы cookie браузера и передавать документы.
Билли Леонард, инженер по безопасности в TAG, сказал, что Google не знает количества жертв, успешно скомпрометированных SPICA, но он сказал, что Google считает, что SPICA используется только для «очень ограниченных целенаправленных атак». Леонард добавил, что вредоносное ПО, вероятно, все еще находится в стадии активной разработки и используется в продолжающихся атаках, и что деятельность ColdRiver «оставалась достаточно стабильной на протяжении последних нескольких лет», несмотря на действия правоохранительных органов.
В Google заявили, что после обнаружения кампании по вредоносному ПО ColdRiver технологический гигант добавил все идентифицированные веб-сайты, домены и файлы в свою службу безопасного просмотра, чтобы предотвратить дальнейшее нацеливание кампании на пользователей Google.
Исследователи Google ранее связывали группу ColdRiver с хакерской операцией и утечкой информации, в ходе которой было украдено и раскрыто большое количество электронных писем и документов от высокопоставленных сторонников Брексита, в том числе сэра Ричарда Дирлава, бывшего главы британской внешней разведки МИ-6.