Rosjanie mają groźnego wirusa. Atakują systemy informatyczne Ukrainy
Malware Graphiron, które jest powiązane z rosyjską grupą hakerów Nodaria, przez kilka miesięcy atakowało ukraińskie komputery. Zagrożenie może dotyczyć nawet Polski, bo celem hakerów są też państwa członkowskie NATO.
Grupa Nodaria, która funkcjonuje w sieci również pod nazwą UAC-0056 lub TA471, zdaniem zespołu badającego zagrożenia w cyberprzestrzeni Symantec, ekipa hakerów z Rosji miała bezpośredni związek z atakami w ramach tzw. WhisperGate. Obiektami ataku były ukraińskie instytucje publiczne, w których blokowano komputery z żądaniem okupu. Teraz grupę powiązano z incydentem, który odnotowano w październiku 2022 r. i dotyczył wykradania danych z urządzeń instytucji wysokiego szczebla.
Rosyjscy hakerzy z grupy TA471 działają już od 2021 r.
Powołując się na ukraiński zespół CERT-UA odpowiedzialny za reagowanie na ataki w cyberprzestrzeni, grupa TA471 jest uznawana za powiązaną z Federacją Rosyjską. Hakerzy z grupy Nodaria funkcjonują w sieci już od początku 2021 roku i od tego czasu znani są z działań wymierzonych przeciwko Ukrainie, ale też wobec państw członkowskich NATO w Europie i Ameryce Północnej.
Zespół firmy Symantec powiązał grupę TA471 z atakami prowadzonymi przeciwko Ukrainie od października ubiegłego roku aż do stycznia 2023 r. Wykorzystywano przy tym szkodliwe oprogramowanie Graphiron w najnowszej wersji, które wykrada poufne dane z zainfekowanych komputerów, ale też potrafi wykonywać zrzuty ekranów i przekazywać je atakującym.
Dalsza część artykułu pod materiałem wideo
Graphiron ma sprytną zasadę działania
Malware wykorzystywane przez grupę Nodaria składa się właściwie z dwóch etapów. Pierwszy jest odpowiedzialny za instalowanie oprogramowania, drugi natomiast dokonuje kradzieży danych. Symantec informuje, że początkowa faza ataku (pobieranie komponentu właściwego) może zostać przerwany pod warunkiem wykrycia na komputerze jednego z wielu programów zabezpieczających. Jeśli takowe nie zostanie odnalezione, instalator ukryje malware maskujące się jako jeden z elementów pakietu Microsoft Office (OfficeTemplate.exe i MicrosoftOfficeDashboard.exe).
Grupa Nodaria nie była istotnie znana przed inwazją na Ukrainę
Hakerzy powiązani z Rosją, którzy przez CERT-UA są określani mianem TA471 zostali powiązani z atakami WhisperGate, które przeprowadzano na początku 2022 roku. Wówczas grupa była odpowiedzialna za wymazywanie kluczowych danych w zainfekowanych komputerach. Pod pozorem przekazania okupu w wysokości kilku tysięcy dolarów amerykańskich (przekazanych w Bitcoinach), dane miały zostać odblokowane - choć w rzeczywistości oprogramowanie uszkadzało je nieodwracalnie, w efekcie czego wiele zaatakowanych komputerów właściwie "wymazano".
Norbert Garbarek, dziennikarz dobreprogramy.pl