На комп'ютерах держорганів України виявили новий вірус

На комп'ютерах держорганів України виявили новий вірус

12:50,
21 Листопада 2018
2319

На комп'ютерах держорганів України виявили новий вірус

12:50,
21 Листопада 2018
2319
На комп'ютерах держорганів України виявили новий вірус
На комп'ютерах держорганів України виявили новий вірус
Автори:
Експерти центру CERT-UA разом зі Службою зовнішньої розвідки України виявили нові модифікації шкідливого програмного забезпечення Pterodo на комп'ютерах державних органів України.

У CERT-UA припускають, що знайдена програма ймовірно є підготовчим етапом для проведення кібератаки. Вірус, назва якого походить від слова «птеродактиль», збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери і очікує подальших команд.

Основною відмінністю першої нової модифікації NEW-SAR_v.14 є можливість інфікування системи через флеш-накопичувачі та інші знімні носії інформації. Документи, зображення і текстові файли копіюються в приховану папку MacOS з назвами FILE <довільне число>. <Розширення> (наприклад FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу і виконання створеного шкідливого файлу usb.ini.

Тіло вірусу  виконує такі ж функції, як і в попередніх версії: направляє інформацію про систему, самооновлюється і при наявності завантажує компоненти.

Крім того, ця версія Pterodo активується тільки на системах з локалізацією мов пострадянських держав, а саме: український, білоруський, російський, вірменський, азербайджанський, узбецький, татарський та інших. Це ускладнює діагностику вірусу популярними автоматичними системами аналізу шкідливого програмного забезпечення.

Версія arm_02.10 характерна відображенням повідомлення при активації файлу, яке зменшує вірогідність припущення, що це шкідлива програма. Крім того, в цій версії для кожної ураженої системи наявна індивідульна url-директорія з серійним номером накопичувача, на якому встановлена система, наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000»  серійний номер, що свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної з них визначають, які нові додатки завантажувати та запускати.

У CERT-UA зазначили, що «почерк» шкідливого програмного забезпечення характерний для цілеспрямованих APT атак і може свідчити про підготовку до цілеспрямованого кібернападу на комп'ютерні системи України.

Pterodo встановлює прихований доступ до комп'ютерних систем з метою використання або контролю в майбутньому, що може привести до витоку інформації, блокування роботи, шифрування даних та інших зловмисних дій.

Нагадаємо, в жовтні Служба безпеки України заявила про кібератаку на держоргани України, здійснену з Росії. Того ж місяця уряд Великої Британії звинуватив військову розвідку Росії в причетності до чотирьох великих кібератак.

ГО «Детектор медіа» понад 20 років бореться за кращу українську журналістику. Ми стежимо за дотриманням стандартів у медіа. Захищаємо права аудиторії на якісну інформацію. І допомагаємо читачам відрізняти правду від брехні.
До 22-річчя з дня народження видання ми відновлюємо нашу Спільноту! Це коло активних людей, які хочуть та можуть фінансово підтримати наше видання, долучитися до генерування ідей та створення якісних матеріалів, просувати свідоме медіаспоживання і разом протистояти російській дезінформації.
pixabay.com
* Знайшовши помилку, виділіть її та натисніть Ctrl+Enter.
Коментарі
оновити
Код:
Ім'я:
Текст:
2019 — 2024 Dev.
Andrey U. Chulkov
Develop
Використовуючи наш сайт ви даєте нам згоду на використання файлів cookie на вашому пристрої.
Даю згоду