На госорганы Украины готовили кибератаку вирусом Pterodo. СБУ связывает угрозу с ФСБ
Команда быстрого реагирования на компьютерные чрезвычайные события (CERT-UA) совместно со Службой внешней разведки Украины обнаружили на компьютерах госорганов Украины новые модификации вредоносного ПО Pterodo. Заражение этим программным обеспечением вероятно является подготовительным этапом для проведения кибератаки, говорится в сообщении CERT-UA.
Что случилось
CERT-UA вместе со Службой внешней разведки Украины обнаружили на компьютерах украинских чиновников модификации шпионского ПО Pterodo. Это специальный бэкдор, собирающий данные и используемый для установки других вредоносных программ. В CERT-UA считают, что заражение компьютеров Pterodo вероятно стало подготовительным этапом для проведения масштабной кибератаки.
Что такое Pterodo
Это вредоносная программа, собирающая сведения о системе, регулярно передающая их злоумышленникам, а также ожидающая дальнейших команд. Согласно изданию Ars Technica, последняя версия Pterodo активируется только в Windows с локализацией для украинского, белорусского, русского, армянского и других языков, бывших советских государств. Это усложняет проведение автоматического анализа вредоносного ПО с помощью популярных инструментов.
Чем отличается версия Pterodo, обнаруженная на компьютерах госорганов
Главным отличие от предыдущих версий стала возможность заразить систему вирусом через флэш-накопители и другие съемные носители. Это работает и в обратную сторону. Pterodo инфицирует подключенные к системе съемные носители, что помогает дальнейшему распространению вируса.
«Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число>, <расширение> (например FILE3462.docx), а на флэш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнения созданного вредоносного файла usb.ini», — говорится в сообщении CERT-UA.
Также в данной версии вредоносного ПО каждая зараженная система получает индивидуальную URL-директорию с серийным номером накопителя. Это означает, что злоумышленники анализируют полученную информацию, а также в индивидуальном порядке решают какие инструменты загружать и запускать в определенной системе.
Кто стоит за заражением
Считается, что Pterodo связан с группой Gamaredon. Последнюю СБУ ранее связала с ФСБ. CERT-UA подозревает, что заражение может свидетельствовать о подготовке кибератаки на компьютерные системы Украины.
«Бэкдор Pterodo устанавливает скрытый доступ к компьютерным системам с целью использования или контроля в будущем, что может привести утечке информации, блокированию работы, шифрованию данных и других злонамеренных действий», — говорится в сообщении CERT-UA.
Как защититься от вируса
Вот несколько полезных рекомендаций, которые предлагает CERT-UA:
- Не открывать вложения в подозрительные письмах.
- Отключить автозапуск съемных носителей и обязательно проверять их на вирусы.
- Если приходит подозрительное письмо от известного адресата, проверить его подлинность у отправителя.
- Обновлять антивирус и использовать лицензионную ОС.
- Регулярно проводить резервное копирование важных файлов, проверять систему на вирусы и обновлять пароли.
- Внимательно следить за сообщениями ОС и обращать внимания на не стандартные, вроде запросов на выполнение неизвестных операций.
- Отсоединять от сети подозрительные устройства для дальнейшей проверки.
