![Pinterest](https://pinterest.com/pin/create/button/?url=https://tr.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://tr.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
Google, bir grup Rus devlet korsanının, mağdurları aslında kötü amaçlı yazılım olan bir şifre çözme yardımcı programını çalıştırmaları için kandırmak amacıyla şifrelenmiş PDF dosyaları gönderdiğini söylüyor.
Dün şirket, ABD ve İngiltere'nin Rus hükümeti için çalıştığından şüphelendiği bir bilgisayar korsanlığı grubu olan Coldriver'ın yeni bir kimlik avı taktiğini belgeleyen bir blog yazısı yayınladı. Bir yıl önce Coldriver'ın üç ABD nükleer araştırma laboratuvarını hedef aldığı bildirilmişti. Diğer bilgisayar korsanları gibi Coldriver da kötü amaçlı yazılım dağıtan kimlik avı mesajları göndererek kurbanın bilgisayarını ele geçirmeye çalışır.
Şirket, "Coldriver sıklıkla sahte hesaplar kullanıyor, belirli bir alanda uzmanmış gibi davranıyor veya bir şekilde kurbanla akrabaymış gibi davranıyor" diye ekledi. "Sahte hesap daha sonra kurbanla iletişim kurmak için kullanılıyor, bu da kimlik avı kampanyasının başarılı olma olasılığını artırıyor ve sonuçta bir kimlik avı bağlantısı veya bağlantıyı içeren belge gönderiliyor." Kurbanın kötü amaçlı yazılımı yüklemesini sağlamak için Coldriver, geri bildirim isteyen PDF formatında yazılı bir makale gönderir. PDF dosyası güvenli bir şekilde açılabilmesine rağmen içindeki metin şifrelenecektir.
Google, yaptığı açıklamada, "Kurban şifrelenmiş belgeyi okuyamadığını söylerse Coldriver hesabı, genellikle bulut depolama alanında, kurbanın kullanabileceği bir 'şifre çözme' yardımcı programına bir bağlantıyla yanıt verir." dedi. "Sahte bir belge de görüntüleyen bu şifre çözme aracı aslında bir arka kapıdır."
Spica olarak adlandırılan arka kapı, Google'a göre Coldriver tarafından geliştirilen ilk özel kötü amaçlı yazılımdır. Kötü amaçlı yazılım yüklendikten sonra komutları çalıştırabilir, kullanıcının tarayıcısından çerezleri çalabilir, dosyaları yükleyip indirebilir ve bilgisayardan belgeleri çalabilir.
Google, "Spica'nın kullanımını Eylül 2023'e kadar gözlemlediğini, ancak Coldriver'ın arka kapıyı en az Kasım 2022'den beri kullandığına inandığını" belirtiyor. Toplamda dört adet şifrelenmiş PDF tuzağı tespit edildi ancak Google, "Proton-decrypter.exe" adlı bir araç olarak gelen yalnızca bir Spica örneğini çıkarmayı başardı.
Şirket, Coldriver'ın amacının Ukrayna, NATO, akademik kurumlar ve sivil toplum kuruluşlarıyla ilişkili kullanıcı ve grupların kimlik bilgilerini çalmak olduğunu ekliyor. Kullanıcıları korumak amacıyla şirket, Coldriver kimlik avı kampanyasıyla bağlantılı alanlardan yapılan indirmeleri engelleyecek şekilde Google yazılımını güncelledi.
Google raporu, ABD siber servislerinin Star Blizzard olarak da bilinen Coldriver'ın Birleşik Krallık'taki hedefleri vurmak için "hedef odaklı kimlik avı saldırılarını başarıyla kullanmaya devam ettiği" konusunda uyarmasından bir ay sonra yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, "Star Blizzard 2019'dan bu yana akademi, savunma, hükümet kuruluşları, sivil toplum kuruluşları, düşünce kuruluşları ve politika yapıcılar gibi sektörleri hedef alıyor" dedi. "2022 yılında Star Blizzard'ın faaliyeti, savunma ve sanayi tesislerinin yanı sıra ABD Enerji Bakanlığı tesislerini de kapsayacak şekilde daha da genişlemiş görünüyor."
Ayrıca okuyun: