Dešimtmečio senumo virusas ilgus metus kėsinosi į Ukrainos vyriausybės ir policijos veiklą

Dėl beveik dešimtmečio senumo kenkėjiškos programinės įrangos į viešai prieinamą saugyklą neseniai buvo įkelta daugiau nei 100 dokumentų su galimai konfidencialia informacija, susijusia su Ukrainos vyriausybės ir policijos veikla – tai neįprastas atvejis, kai senas ir netobulas virusas nebuvo aptiktas, todėl išliko ir toliau kelia grėsmę.

„OfflRouter“ virusas veikė nuo 2015 m.

Dokumentai, aptikti vykdant įprastą grėsmių medžioklę, kurią atlieka „Cisco“ grėsmių žvalgybos tyrimų grupės „Talos Threat Intelligence Research Team“ tyrėjai, buvo užkrėsti virusu, pavadintu „OfflRouter“, kuris atsirado 2015 m. ir nebuvo išsamiai viešai išnagrinėtas, teigiama analizėje.

Šiuo atveju „OfflRouter“ tarnauja kaip priemonė vykdomajam failui, žinomam kaip „ctrlpanel.exe“, kuris bando sumažinti „Word“ saugumo nustatymus ir parinkti papildomus dokumentus užkrėsti, elektroniniu paštu „CyberScoop“ sakė „Talos“ išorės tyrėjas Vanja Svajceris.

Virusas gali būti platinamas tik dalijantis užkrėstais dokumentais ir keičiamomis laikmenomis, pavyzdžiui, USB atmintinėmis, ir yra nukreiptas tik į failus su plėtiniu „.doc“, o tai leidžia manyti, kad virusas buvo sukurtas taip, kad būtų nukreiptas į nedidelį subjektų skaičių ar konkrečius failus, arba kad viruso autorius suklydo kurdamas kenkėjišką programą

Nors naujesnėse „Word“ versijose naudojamas „.docx“ failo plėtinys, tačiau „.doc“ vis dar yra naudojamas.

Įvairių įsilaužimo operacijų Ukrainoje fone seno viruso veikimas yra anomalija

„Kai tas pats senas virusas per kelerius metus (paskutinį kartą – 2024 m. vasarį) priverčia vartotojus į „VirusTotal“ įkelti daugiau nei 100 oficialių policijos ir vietos valdžios dokumentų, tampa įdomiau“, – sakė Svajceris. „Atrodo, kad jis gali paveikti pakankamai žmonių, kad būtų galima įkelti didelį kiekį dokumentų.“

Svajceris pridūrė, kad šis virusas įdomus ir tuo, kad jo veikla apsiriboja Ukraina, kurioje Rusijos įsilaužėlių grupės nuolat vykdo agresyvias kibernetines operacijas – nuo destruktyvios veiklos iki kibernetinio šnipinėjimo prieš viešuosius ir privačius subjektus.

Tyrėjai negalėjo nustatyti, kas slypi už šios operacijos.

Virusą „Talos“ tyrėjai aptiko nustatę keletą akivaizdžiai Ukrainos vietos valdžios ir Ukrainos nacionalinės policijos dokumentų, įkeltų į „VirusTotal“ – svetainę, kurią grėsmių žvalgybos tyrėjai naudoja dokumentams tikrinti dėl kenkėjiškų programų, virusų ir kitų grėsmių.

Tolesnis tyrimas atskleidė daugiau nei 100 dokumentų, kuriuose buvo galimai konfidencialios informacijos apie policijos veiklą.

Atlikus šių dokumentų analizę paaiškėjo, kad jie buvo užkrėsti „OfflRouter“.

2018 m. Slovakijos vyriausybės Kompiuterių saugumo incidentų reagavimo grupės atliktoje „OfflRouter“ analizėje, taip pat pagrįstoje Ukrainos nacionalinės policijos bylomis, pažymėta, kad „retai“ aptinkama kenkėjiška programinė įranga, kuri „atrodo kaip tam tikros kibernetinės operacijos 1-asis etapas, tačiau šiuo metu nėra viešai žinoma, kokie įrankiai keičiamuose įrenginiuose naudojami kituose etapuose ir į kokias organizacijas nukreipta kampanija“.

Tai, kad policijos failai buvo įkelti 2018 m. ir visai neseniai, „rodo, kad virusas sugebėjo išgyventi daugiau nei 5 metus toje aplinkoje“, sakė Svajceris. „Manome, kad svarbu pabrėžti tokio viruso užkrėtimo pavojų vyriausybinėms organizacijoms ir dėl to galintį įvykti netyčinį duomenų nutekėjimą. Vietoj „VirusTotal“ duomenys galėjo būti nutekinti daug mažiau draugiškai organizacijai.“

Analizės duomenimis, šie dokumentai gali būti masalas, skirtas kitoms agentūroms ir organizacijoms. Tokie dokumentai, kurie sukuriami pridedant kenkėjišką programinę įrangą arba piktnaudžiaujant automatizuotomis dokumentų scenarijų galimybėmis, kad būtų galima pateikti kenkėjišką programinę įrangą ir atlikti įvairias užduotis, yra įprasta taktika, kurią įsilaužėlių grupės taiko kaip pradinius vektorius, kad galėtų patekti į tikslinius tinklus.

Naujausi pavyzdžiai

Su Rusija susijusi „Gamaredon“ grupė, vykdydama kibernetinio šnipinėjimo operaciją, naudojo dokumentus, į kuriuos buvo įdėta informaciją vagiančių kenkėjiškų programų ir kurie buvo nukreipti prieš Ukrainos agentūras.

Praėjusią vasarą įsilaužimo kampanija, atsekama kaip „UNC1151“ (galimai susijusi su Baltarusijos vyriausybe), naudodama šią taktiką taikėsi į kelias vyriausybines agentūras Ukrainoje ir Lenkijoje, tuo metu pranešė „Talos“.

Šiuo metu vykstanti įsilaužimo kampanija, atsekama kaip „RomCom“ (galimai susijusi su Rusija), 2023 m. liepą taip pat piktnaudžiavo šia taktika rinkdama informaciją apie Ukrainos pastangas įstoti į NATO per NATO aukščiausiojo lygio susitikimą, tuometinėje ataskaitoje išsamiai nurodė „BlackBerry“ tyrėjai.