![פינטרסט](https://pinterest.com/pin/create/button/?url=https://iw.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://iw.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
גוגל אומרת שקבוצה של האקרים ממדינות רוסיה שולחות קבצי PDF מוצפנים כדי להערים על קורבנות להפעיל כלי פענוח שהוא למעשה תוכנה זדונית.
אתמול פרסמה החברה פוסט בבלוג המתעד טקטיקת פישינג חדשה של Coldriver, קבוצת פריצה שארה"ב ובריטניה חושדות בכך שעבדה עבור ממשלת רוסיה. לפני שנה דווח כי קולדרייר תקף שלוש מעבדות מחקר גרעיני בארה"ב. כמו האקרים אחרים, Coldriver מנסה להשתלט על המחשב של הקורבן על ידי שליחת הודעות דיוג שבסופו של דבר מספקות תוכנות זדוניות.
"קולדרייבר משתמש לעתים קרובות בחשבונות מזויפים, מעמיד פנים שהוא מומחה בתחום מסוים או קשור איכשהו לקורבן", הוסיפו בחברה. "החשבון המזויף משמש לאחר מכן ליצירת קשר עם הקורבן, מה שמגביר את הסבירות שמסע הדיוג יצליח, ובסופו של דבר שולח קישור דיוג או מסמך המכילים את הקישור". כדי לגרום לקורבן להתקין את התוכנה הזדונית, Coldriver שולח מאמר כתוב בפורמט PDF המבקש משוב. למרות שניתן לפתוח בבטחה את קובץ ה-PDF, הטקסט שבתוכו יוצפן.
"אם הקורבן עונה שהם לא יכולים לקרוא את המסמך המוצפן, חשבון Coldriver מגיב בקישור, בדרך כלל באחסון בענן, לכלי 'פענוח' שבו הקורבן יכול להשתמש", אמרה גוגל בהצהרה. "כלי הפענוח הזה, שמציג גם מסמך מזויף, הוא למעשה דלת אחורית."
המכונה Spica, הדלת האחורית היא התוכנה הזדונית המותאמת אישית הראשונה שפותחה על ידי Coldriver, לפי גוגל. לאחר ההתקנה, התוכנה הזדונית יכולה לבצע פקודות, לגנוב עוגיות מהדפדפן של המשתמש, להעלות ולהוריד קבצים ולגנוב מסמכים מהמחשב.
גוגל מצהירה כי היא "צפתה בשימוש ב-Spica עוד בספטמבר 2023, אך מאמינה שקולדרייבר משתמש בדלת האחורית לפחות מאז נובמבר 2022". בסך הכל זוהו ארבעה פתילי PDF מוצפנים, אך גוגל הצליחה לחלץ רק דגימת Spica אחת, שהגיעה ככלי בשם "Proton-decrypter.exe".
החברה מוסיפה כי מטרתו של Coldriver הייתה לגנוב את האישורים של משתמשים וקבוצות הקשורות לאוקראינה, נאט"ו, מוסדות אקדמיים וארגונים לא ממשלתיים. כדי להגן על המשתמשים, החברה עדכנה את תוכנת גוגל כדי לחסום הורדות מדומיינים המקושרים לקמפיין הדיוג של Coldriver.
גוגל פרסמה את הדוח חודש לאחר ששירותי הסייבר בארה"ב הזהירו שקולדרייב, הידוע גם בשם Star Blizzard, "ממשיך להשתמש בהצלחה בהתקפות דיוג חנית" כדי לפגוע במטרות בבריטניה.
"החל משנת 2019, Star Blizzard התמקדה במגזרים כמו אקדמיה, ביטחון, ארגונים ממשלתיים, ארגונים לא ממשלתיים, צוותי חשיבה וקובעי מדיניות", אמרה סוכנות הסייבר והאבטחה של תשתיות. "במהלך 2022, נראה שהפעילות של Star Blizzard התרחבה עוד יותר וכוללת מתקני הגנה ותעשייה, כמו גם מתקני משרד האנרגיה האמריקאי".
קרא גם: