Kiber spiegošanas ēnainajai pasaulei ir jauns spēlētājs laukumā: nekaunīgs ļaunprātīgas programmatūras gabals, kas saukts par “LostKeys”. Pēc Google teiktā, Krievijas valsts atbalstīta ļaunprātīgas programmatūras apkalpe, kas pazīstama kā Coldriver, kopš gada sākuma ir izmantojusi LostKeys, lai snoopētu rietumu valdībās, žurnālistos, ideju laboratorijās un nevalstiskajās organizācijās.
Coldriver nav īsti jauns bērns blokā. Atpakaļ decembrī Lielbritānija un tās “piecu acu” izlūkdatu sabiedrotie norādīja uz pirkstu uz viņiem. Hakeru grupa bija tieši saistīta ar Krievijas Federālo drošības dienestu (FSB), kas būtībā ir viņu pretizlūkošana un iekšējās drošības bigwig.
Google atklāj LostKeys, ļaunprātīgu programmatūru, kas saistīta ar Krieviju
Google draudu izlūkošanas grupa (GTIG) pirmo reizi pamanīja LostKeys janvārī. Šķiet, ka Coldriver to ir izvietojis ļoti mērķtiecīgos “ClickFix” uzbrukumos. Padomājiet par šiem kā digitālajiem darbiem, kur viņi pievilina cilvēkus vadīt nemanāmus PowerShell skriptus. Būtībā ClickFix uzbrukumi ir balstīti uz klasisko sociālo inženieriju.
Kad šie skripti darbojas, tie paver ceļu vēl vairāk PowerShell nastinitātes lejupielādēt un izpildīt. Viņu galvenais mērķis ir LostKeys instalēšana, kuru Google ir identificējis kā Visual Basic Script (VBS) datu zādzību ļaunprātīga programmatūra. Saskaņā ar GTIG ziņojumu LostKeys ir kā “digitālā putekļsūcējs”, kas iegūst noteiktus failus un direktorijus. Tas arī sūta informāciju par sistēmu un palaiž procesus atpakaļ uzbrucējiem.
Coldriver parastais MO ietver pieteikšanās informācijas nozagšanu uz e -pastiem un kontaktiem. Tomēr ir zināms, ka viņi arī izvieto citu ļaunprātīgu programmatūru ar nosaukumu Spica dokumentu un failu satveršanai. Šķiet, ka LostKeys kalpo līdzīgam mērķim, bet tas ir izvirzīts tikai tiem “Ļoti selektīvi gadījumi. Tas liek domāt, ka tas ir specializētāks rīks Coldriver spiegošanas instrumentu komplektā.
Interesanti, ka Coldriver nav vienīgā valsts sponsorētā grupa, kas dodas šajos ClickFix uzbrukumos. Kiber pazeme acīmredzot ir šīs taktikas ventilators ar grupām, kas saistītas ar Ziemeļkoreju (Kimsuky), Irānu (Muddywater) un pat citiem krievu aktieriem (APT28 un UNK_REMOTEROGE), visi visi, izmantojot līdzīgas metodes nesenajās spiegošanas kampaņās.
Coldriver darbojas kopš 2017. gada
Coldriver ir pazīstams arī ar dažiem citiem pseidonīmiem, piemēram, Star Blizzard un Callisto Group. Viņu sociālās inženierzinātņu un atvērtā pirmkoda izlūkošanas prasmes ir pievilināt mērķus vismaz kopš 2017. gada. Viņu mērķi ir svārstījušies no aizsardzības un valdības organizācijām līdz NVO un politiķiem. Grupas uzbrukumi ir palielinājušies, it īpaši pēc Krievijas iebrukuma Ukrainā, pat paplašināšanās līdz aizsardzības rūpnieciskajām vietām un ASV Enerģētikas departamenta iestāžu departamentam.
ASV Valsts departaments pat ir iesitis sankcijas par pāris Coldriver darbiniekiem (viens, kā ziņots, FSB virsnieks). Pašlaik ASV varas iestādes piedāvā dūšīgu atlīdzību 10 miljonu ASV dolāru apmērā par visiem padomiem, kas varētu palīdzēt izsekot citiem biedriem. Tas atspoguļo nopietnības līmeni, ar kādu ASV uztver grupu.
