Google виявив новий російський вірус для кібершпигунства за українськими військовими

Про це повідомляє The Hacker News.

Як працює вірус

За даними дослідників, STOCKSTAY є багатокомпонентним шкідливим програмним забезпеченням для Windows. Воно має значну схожість із відомим шпигунським інструментом Kazuar, який Turla використовує щонайменше з 2017 року.

Вірус маскується під легальні програми. Спочатку його видавали за застосунок для перегляду біржової аналітики, а пізніше — під звичайний калькулятор або програму для читання PDF-файлів.

Після встановлення STOCKSTAY створює захищене з’єднання із сервером зловмисників, що ускладнює його виявлення. Програма здатна виконувати команди хакерів, переглядати вміст папок, копіювати документи, видаляти файли та збирати інформацію про систему.

Кого атакують російські хакери

Для зараження пристроїв зловмисники використовували фішингові листи, замасковані під повідомлення на освітню або дипломатичну тематику.

Основними цілями стали українські військові та державні органи. Водночас ранні версії шкідливої програми тестували на установах в Італії, Нідерландах, Польщі та Німеччині.

Що кажуть аналітики

У Google зазначають, що Turla застосовує STOCKSTAY на різних етапах своїх кібероперацій — як для отримання початкового доступу до систем, так і після проникнення для збору розвідданих.

Аналітики припускають, що російські хакери запускають новий вірус паралельно з Kazuar, щоб протестувати його в реальних умовах. Найчастіше це відбувається наприкінці операцій, коли існує ризик втрати доступу до скомпрометованих мереж.

Нагадаємо, Apple видалила ключові додатки російського VK без попередження.