РФ незвичайним способом зламує пристрої ЗСУ, підключені до Starlink: як зупинити

Група Secret Blizzard могла отримати цінну інформацію про захисників України, виконавши складну атаку. Російські хакери, які працюють на державу, незвичайним способом зламують пристрої, які українські військові підключають до супутникового інтернету Starlink на передовій.

Про це фахівці американської корпорації Microsoft повідомили на офіційному сайті 11 грудня.

Вони виявили, що група, відома під назвами Secret Blizzard, Turla, Waterbug, Snake і Venomous Bear використовувала сервери та зловмисне програмне забезпечення інших хакерських організацій, зокрема, Storm-1837, причетної до відстеження українських операторів дронів.

Невідомо, як вона отримала доступ до цієї інфраструктури, ймовірно, вкрали або придбали доступ.

З березня по квітень 2024 року Secret Blizzard використовувала шкідливе програмне забезпечення Amadey, пов'язане з групою Storm-1919, для ураження пристроїв української армії за допомогою дропера PowerShell. Кінцевою метою було встановити "бекдор" для пошуку цікавих цілей.

У одному зі зразків бота Amdey Microsoft виявила інформацію, зібрану з буферів обміну пристроїв і паролі з браузерів. Крім того ПЗ перевіряло наявність антивірусних програм.

Потім він встановлював спеціальний інструмент розвідки, який вибірково розгортався на пристроях, які зацікавили хакерів, наприклад, на ноутбуках, що підключаються до супутникового інтернету Starlink — ним Сили оборони України масово користуються на фронтах.

Після цього росіяни встановлювали "вірус" Tavdig для збору цінної інформації про користувача та встановлення власних налаштувань.

У січні 2024 року корпорація Майкрософт помітила в Україні пристрій військового призначення, зламаний "вірусом" Storm-1837, налаштованим на використання API Telegram для запуску командлета з обліковими даними (надаються як параметри) для облікового запису на платформі обміну файлами Mega.

Ймовірно, він змушував уражену систему завантажувати та запускати файли. Microsoft звернула увагу: тоді було використано дропер PowerShell, дуже схожий на той, що спостерігався під час використання ботів Amadey, і містив два файли в кодуванні base64, що містили раніше згаданий Tavdig ( rastls.

dll ) і бінарний файл Symantec (kavp. exe). На думку фахівців, Secret Blizzard розгорнула інструменти на уражених засобах і вбудувала у них нові функції, щоб зробити їх ефективнішими для шпигування зха українськими військовими.

Крім того, Secret Blizzard, ймовірно, також намагалася використати ці точки для розширення доступу до рівня міністерства. Для захисту мереж користувачам порекомендували увімкнути і налаштувати захисну програму Microsoft Defender.

У ньому можна застосувати додаткові правила: Напередодні у Білорусі заявили про створення свого аналога Starlink під назвою "Куліса". Експерти виявили, що обладнання зібране з китайських деталей цивільного класу, а тому якість його роботи буде значно нижчою.