Két, eddig nem dokumentált kártevővel támad ukrajnai kormányzati célpontokat az orosz, államilag támogatott APT28 hackercsoport – írja a Bleeping Computer.
A Signal nevű üzenetküldőn keresztül történő támadásokra az ukrán kiberbiztonsági szervezet, a CERT-UA figyelt fel, és nem példa nélküli: már 2024 márciusában is történt hasonló, ám idén májusban újabb hullám indult. Erről az ESET biztonsági cég tájékoztatta a CERT-UA-t.
Az új támadásban a gov.ua kormányzati e-mail-fiókok a célpontok, ehhez szerezhetnek jogosulatlan hozzáférést az orosz hackerek. Az új vizsgálatok során az ukrán kibervédelem felfedezte, hogy a Signal nevű, titkosított üzenetküldő platformon keresztül küldenek egy fertőzött dokumentumot az áldozatoknak, ami – letöltve – a makrók segítségével hoz létre az eszközön egy „hátsó kaput”, melyen keresztül a támadók szabadon garázdálkodhatnak.
A Bleeping Computer aláhúzza: ez nem a Signal biztonsági hibája, csak egy adathalász támadás, amit a kormányzatok által egyre szélesebb körben használt üzenetküldővel terjesztenek a rosszindulatú felek.
A mostani esetben a Covenant nevű kártevő települ az áldozatok eszközeire, ami aztán elvégzi a teljes vírus installálását. A rosszindulatú program felvételeket készít a képernyő tartalmáról, amit aztán titkosít, eltárol a gépen, majd később továbbítja a támadás mögött álló hackernek.
A CERT-UA az APT28 számlájára írja a támadást, ami egyébként már régóta támadja a kibertérben Ukrajnát, valamint amerikai és európai szervezeteket – leginkább kémkedés céljából. Ami a Signalt illeti, az elmúlt hónapokban az Oroszországhoz és Ukrajnához kapcsolódó kibertámadások középpontjába került, mivel több adathalász támadás is indult a segítségével.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
