На комп'ютерах держорганів України виявили новий вірус
У CERT-UA припускають, що знайдена програма ймовірно є підготовчим етапом для проведення кібератаки. Вірус, назва якого походить від слова «птеродактиль», збирає дані про систему, регулярно відправляє їх на командно-контрольні сервери і очікує подальших команд.
Основною відмінністю першої нової модифікації NEW-SAR_v.14 є можливість інфікування системи через флеш-накопичувачі та інші знімні носії інформації. Документи, зображення і текстові файли копіюються в приховану папку MacOS з назвами FILE <довільне число>. <Розширення> (наприклад FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу і виконання створеного шкідливого файлу usb.ini.
Тіло вірусу виконує такі ж функції, як і в попередніх версії: направляє інформацію про систему, самооновлюється і при наявності завантажує компоненти.
Крім того, ця версія Pterodo активується тільки на системах з локалізацією мов пострадянських держав, а саме: український, білоруський, російський, вірменський, азербайджанський, узбецький, татарський та інших. Це ускладнює діагностику вірусу популярними автоматичними системами аналізу шкідливого програмного забезпечення.
Версія arm_02.10 характерна відображенням повідомлення при активації файлу, яке зменшує вірогідність припущення, що це шкідлива програма. Крім того, в цій версії для кожної ураженої системи наявна індивідульна url-директорія з серійним номером накопичувача, на якому встановлена система, наприклад, bitsadmin.ddns[.]net/00000/setup.exe, де «00000» — серійний номер, що свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної з них визначають, які нові додатки завантажувати та запускати.
У CERT-UA зазначили, що «почерк» шкідливого програмного забезпечення характерний для цілеспрямованих APT атак і може свідчити про підготовку до цілеспрямованого кібернападу на комп'ютерні системи України.
Pterodo встановлює прихований доступ до комп'ютерних систем з метою використання або контролю в майбутньому, що може привести до витоку інформації, блокування роботи, шифрування даних та інших зловмисних дій.
Нагадаємо, в жовтні Служба безпеки України заявила про кібератаку на держоргани України, здійснену з Росії. Того ж місяця уряд Великої Британії звинуватив військову розвідку Росії в причетності до чотирьох великих кібератак.