Хакери розповсюджували трояналізовану збірку Windows 10 для проникнення українських цілей
Завантаження копії Windows з тінистих онлайн -джерел ніколи не є хорошою ідеєю, але останнім часом це було ще небезпечніше в Україні. Фірма з кібербезпеки Mandiant визначила трояналізовану версію Windows 10, що розповсюджується в Інтернеті, і вона була модифікована спеціально для отримання доступу до українських комп'ютерних систем. Незважаючи на те, що на зловмисному ISO немає чітких відбитків пальців, Mandiant відзначає цілі, що перетинаються з попередніми операціями служб безпеки Росії.
Інсталятор Windows вважає 64-бітною збіркою Windows 10, позначеним "Win10_21h2_ukrainian_x64.iso." Він використовує український мовний пакет і був розповсюджений в основному на Toloka.to, торрент -трекер, який фокусується на українських користувачах. Він також з'явився на російському торрентському трекері. Здається, ця кампанія зловмисного програмного забезпечення пов'язана з тривалою війною в Україні.
За словами Mandiant, кампанія, схоже, не має жодного фінансового мотиву - немає інсталяторів викупу чи криптовалютних шахтарів. Хоча розподіл ISO Windows - це не найефективніший спосіб отримати ці шкідливі пакети на машини. Однак це корисно, якщо ви хочете повного доступу до системи з можливістю встановлення додаткових пакетів зловмисного програмного забезпечення, коли ви знайдете соковиту ціль. Те, як ці додаткові інструменти були розгорнуті, призвело до підозри на російське агентство з шпигунів Gru та урядові хакерські групи, такі як APT28.
Встановлення шкідливого ISO отримає вам, що, здається, є повністю функціональною версією Windows 10, але базовий код був змінений декількома життєво важливими способами. Для одного не надсилає телеметрію безпеки назад до Microsoft, як це робить звичайна збірка Windows. Після встановлення вбудовані інструменти сканують систему для корисної інформації за допомогою запланованих та модифікованих системних завдань. Потім дані надсилаються на віддалений сервер. Деякі установки також були завантажені додатковими інструментами зловмисного програмного забезпечення після встановлення, що дозволяє припустити, що ці цілі представляють особливий інтерес для хакерів.
Mandiant визначив кілька машин, що керують зараженою версією Windows всередині українських урядових мереж. Машини почали спілкуватися з операторами через зашифрований тунель Tor у липні 2022 року. Це новий вид нападу, і той, який ми можемо бачити частіше, коли конфлікт в Україні затягується. На відміну від багатьох кампаній зловмисного програмного забезпечення, цього легко уникнути. Просто не завантажуйте ескізні версії Windows з торрентських сайтів. Microsoft фактично дозволить вам завантажувати Windows ISO безпосередньо з джерела в наші дні.