![Pinterest](https://pinterest.com/pin/create/button/?url=https://az.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://az.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google bildirir ki, bir qrup Rusiya dövlət xakeri qurbanları aldatmaq üçün şifrələnmiş PDF faylları göndərir ki, bu da əslində zərərli proqram olan şifrəni açmaq üçün proqramdır.
Dünən şirkət ABŞ və Böyük Britaniyanın Rusiya hökuməti üçün işləməkdə şübhəli bilinən haker qrupu Coldriver-in yeni fişinq taktikasını sənədləşdirən bloq yazısı dərc edib. Bir il əvvəl Coldriver-in ABŞ-ın üç nüvə tədqiqat laboratoriyasını hədəf alması xəbəri yayılmışdı. Digər hakerlər kimi Coldriver də zərərli proqram təminatı ilə nəticələnən fişinq mesajları göndərməklə qurbanın kompüterini ələ keçirməyə çalışır.
"Coldriver tez-tez saxta hesablardan istifadə edir, özünü müəyyən bir sahədə mütəxəssis kimi təqdim edir və ya hansısa şəkildə zərərçəkənlə əlaqə saxlayır", - şirkət əlavə edib. "Daha sonra saxta hesab qurbanla əlaqə saxlamaq üçün istifadə olunur ki, bu da fişinq kampaniyasının uğurlu olma ehtimalını artırır və sonda bu linki və ya linki ehtiva edən sənəd göndərir." Qurbanı zərərli proqramı quraşdırmağa məcbur etmək üçün Coldriver rəy sorğusu ilə PDF formatında yazılı məqalə göndərir. PDF faylı təhlükəsiz şəkildə açılsa da, içindəki mətn şifrələnəcək.
"Qurban şifrlənmiş sənədi oxuya bilmədiyini cavablandırarsa, Coldriver hesabı qurbanın istifadə edə biləcəyi "şifrəni açmaq" yardım proqramına, adətən bulud yaddaşında olan keçidlə cavab verir", - Google-un bəyanatında deyilir. "Saxta sənədi də nümayiş etdirən bu şifrənin açılması proqramı əslində arxa qapıdır."
Google-a görə, Spica olaraq adlandırılan arxa qapı Coldriver tərəfindən hazırlanmış ilk fərdi zərərli proqramdır. Quraşdırıldıqdan sonra zərərli proqram əmrləri yerinə yetirə, istifadəçinin brauzerindən kukiləri oğurlaya, faylları yükləyə və yükləyə, kompüterdən sənədləri oğurlaya bilər.
Google bildirir ki, o, “Spica-nın istifadəsini hələ 2023-cü ilin sentyabrında müşahidə edib, lakin Coldriver-in ən azı 2022-ci ilin noyabrından bəri arxa qapıdan istifadə etdiyinə inanır”. Cəmi dörd şifrələnmiş PDF fırıldaqçıları aşkar edildi, lakin Google “Proton-decrypter.exe” adlı alət kimi gələn yalnız bir Spica nümunəsini çıxara bildi.
Şirkət əlavə edir ki, Coldriver-in məqsədi Ukrayna, NATO, akademik qurumlar və qeyri-hökumət təşkilatları ilə əlaqəli istifadəçilərin və qrupların etimadnaməsini oğurlamaq olub. İstifadəçiləri qorumaq üçün şirkət Coldriver fişinq kampaniyası ilə əlaqəli domenlərdən yükləmələri bloklamaq üçün Google proqram təminatını yeniləyib.
Google hesabatı ABŞ kiber xidmətlərinin Star Blizzard kimi tanınan Coldriver-in Böyük Britaniyadakı hədəfləri vurmaq üçün "nizə fişinq hücumlarından uğurla istifadə etməyə davam etdiyi" xəbərdarlığından bir ay sonra dərc edib.
ABŞ Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyi bildirib ki, “2019-cu ildən başlayaraq Star Blizzard akademik, müdafiə, hökumət təşkilatları, qeyri-hökumət təşkilatları, beyin mərkəzləri və siyasətçilər kimi sektorları hədəfləyib”. "2022-ci il ərzində Star Blizzard-ın fəaliyyəti müdafiə və sənaye obyektlərini, eləcə də ABŞ Enerji Departamentinin obyektlərini əhatə edəcək şəkildə daha da genişləndiyi görünür."
Həmçinin oxuyun: