Прикинулися вербувальниками ЦАХАЛ і 3 ОШБр: хакери атакували українських військових у Signal

Під час кібератак злочинці поширювали архіви файлів LNK. Вони запускали шкідливі програми REMCOSRAT і REVERSESSH для несанкціонованого доступу до пристроїв.

CERT-UA, урядова команда реагування на комп'ютерні надзвичайні події України, повідомила про серію кібератак, спрямованих на українських військових через месенджер Signal. Інформація про це з'явилася на офіційному сайті організації.

За даними команди реагування, наприкінці грудня експерти з кібербезпеки з компанії Trendmicro отримали інформацію про виявлення підозрілих файлів.

У результаті було виявлено серію кібератак, спрямованих проти військовослужбовців Збройних сил України під виглядом вербування в 3-тю окрему штурмову бригаду та Армію оборони Ізраїлю (ЦАХАЛ). Кібератаки проводилися в месенджері Signal, де поширювалися архіви файлів LNK.

Ці файли запускають ланцюжок зараження шкідливими програмами REMCOSRAT і REVERSESSH, створюючи технічні умови для несанкціонованого віддаленого доступу до пристроїв зловмисників.

Файли-ярлики містили обфусковані команди для завантаження і запуску HTA-файлу, в якому був обфускований код, що запускав PowerShell-команду для розшифровки, декомпресії та запуску шкідливого PowerShell-сценарію.

Цей сценарій зі свого боку завантажував і запускав файли шкідливої програми та документ-приманки. Фахівці CERT-UA зазначили, що назви та зміст таких документів були дуже релевантні для військових.

Наразі не відомо, хто стоїть за цією серією кібератак, однак цей інцидент підкреслив важливість забезпечення кібербезпеки військових української армії, зазначили представники урядової команди.

Зазначимо, що Signal — клієнтський додаток для обміну миттєвими повідомленнями та інтернет-телефонії з вільним і відкритим вихідним кодом. Основний акцент у розробці робиться на конфіденційність і безпеку.

До листопада 2015 року додаток називався TextSecure і давав змогу лише обмінюватися миттєвими повідомленнями. Нагадаємо, на початку вересня ми писали про те, що хакери зламують смартфони українців через фейкові Telegram і Signal. Додатки з'явилися навіть в офіційному магазині Google Play Store.

Шкідливе ПЗ звідти нещодавно видалили, але воно все одно становить небезпеку. Раніше Фокус також повідомляв, що російські хакери зламують телефони бійців ЗСУ, щоб дізнатися військові плани.