На госорганы Украины готовили кибератаку вирусом Pterodo. СБУ связывает угрозу с ФСБ

Команда быстрого реагирования на компьютерные чрезвычайные события (CERT-UA) совместно со Службой внешней разведки Украины обнаружили на компьютерах госорганов Украины новые модификации вредоносного ПО Pterodo. Заражение этим программным обеспечением вероятно является подготовительным этапом для проведения кибератаки, говорится в сообщении CERT-UA.

Что случилось

CERT-UA вместе со Службой внешней разведки Украины обнаружили на компьютерах украинских чиновников модификации шпионского ПО Pterodo. Это специальный бэкдор, собирающий данные и используемый для установки других вредоносных программ. В CERT-UA считают, что заражение компьютеров Pterodo вероятно стало подготовительным этапом для проведения масштабной кибератаки.

Что такое Pterodo

Это вредоносная программа, собирающая сведения о системе, регулярно передающая их злоумышленникам, а также ожидающая дальнейших команд. Согласно изданию Ars Technica, последняя версия Pterodo активируется только в Windows с локализацией для украинского, белорусского, русского, армянского и других языков, бывших советских государств. Это усложняет проведение автоматического анализа вредоносного ПО с помощью популярных инструментов.

Чем отличается версия Pterodo, обнаруженная на компьютерах госорганов

Главным отличие от предыдущих версий стала возможность заразить систему вирусом через флэш-накопители и другие съемные носители. Это работает и в обратную сторону. Pterodo инфицирует подключенные к системе съемные носители, что помогает дальнейшему распространению вируса.

«Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число>, <расширение> (например FILE3462.docx), а на флэш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнения созданного вредоносного файла usb.ini», — говорится в сообщении CERT-UA.

Также в данной версии вредоносного ПО каждая зараженная система получает индивидуальную URL-директорию с серийным номером накопителя. Это означает, что злоумышленники анализируют полученную информацию, а также в индивидуальном порядке решают какие инструменты загружать и запускать в определенной системе.

Кто стоит за заражением

Считается, что Pterodo связан с группой Gamaredon. Последнюю СБУ ранее связала с ФСБ. CERT-UA подозревает, что заражение может свидетельствовать о подготовке кибератаки на компьютерные системы Украины.

«Бэкдор Pterodo устанавливает скрытый доступ к компьютерным системам с целью использования или контроля в будущем, что может привести утечке информации, блокированию работы, шифрованию данных и других злонамеренных действий», — говорится в сообщении CERT-UA.

Как защититься от вируса

Вот несколько полезных рекомендаций, которые предлагает CERT-UA:

• Не открывать вложения в подозрительные письмах.
• Отключить автозапуск съемных носителей и обязательно проверять их на вирусы.
• Если приходит подозрительное письмо от известного адресата, проверить его подлинность у отправителя.
• Обновлять антивирус и использовать лицензионную ОС.
• Регулярно проводить резервное копирование важных файлов, проверять систему на вирусы и обновлять пароли.
• Внимательно следить за сообщениями ОС и обращать внимания на не стандартные, вроде запросов на выполнение неизвестных операций.
• Отсоединять от сети подозрительные устройства для дальнейшей проверки.