AGEWHEEZE ROT
Küberjulgeolekuanalüütikud on paljastanud sihipärase andmepüügioperatsiooni, mille käigus ründajad teesklesid Ukraina küberintsidentidega tegeleva meeskonna nime, et levitada kaughaldustööriista nimega AGEWHEEZE. UAC-0255 rühmitusele omistatud kampaania põhines petlikel meilidel, mis saadeti 26. ja 27. märtsil 2026 ning milles kutsuti adressaate üles installima nn spetsiaalset tarkvara.
Need meilid sisaldasid linke parooliga kaitstud ZIP-arhiivile, mis asus Files.fm-is. Arhiiv nimega CERT_UA_protection_tool.zip esitleti küll legitiimse turvautiliidina, kuid edastas hoopis pahatahtlikke andmeid. Mõned sõnumid pärinesid võltsitud aadressilt 'incidents@cert-ua.tech', mis tugevdas veelgi autentsuse illusiooni.
Sisukord
Sihtmärgi profiil ja rünnaku ulatus
Operatsioon heitis laiaulatusliku rünnaku sihtmärgiks mitmesugused organisatsioonid, mis on riikliku taristu ja avalike teenuste jaoks kriitilise tähtsusega. Nende hulka kuulusid:
- Valitsus ja riigiasutused
- Meditsiini- ja tervishoiuasutused
- Julgeoleku- ja kaitsevaldkonna ettevõtted
- Haridusorganisatsioonid
- Finantsasutused
- Tarkvaraarendusettevõtted
Vaatamata laiale sihtimisstrateegiale tundub kampaania üldine efektiivsus piiratud. Kinnitati vaid väike arv nakkusjuhtumeid, mis mõjutasid peamiselt haridusasutuste töötajate isiklikke seadmeid.
AGEWHEEZE’i sees: võimed ja püsivuse mehhanismid
AGEWHEEZE on Go-põhine kaugjuurdepääsu trooja, mis on loodud ulatuslikuks süsteemikontrolliks ja -jälgimiseks. Pärast juurutamist loob see WebSocketi protokollide abil ühenduse juhtimis- ja kontrollserveriga aadressil 54.36.237.92.
Pahavara võimaldab ründajatel sooritada laia valikut pahatahtlikke tegevusi, sealhulgas:
- Suvaliste käskude täitmine ja süsteemiprotsesside haldamine
- Failitoimingute tegemine ja salvestatud andmetega manipuleerimine
- Ekraanipiltide jäädvustamine ja kasutajategevuse jälgimine
- Hiire ja klaviatuuri sisendite emuleerimine
- Lõikelaua sisu muutmine
- Püsivuse säilitamine ajastatud ülesannete, Windowsi registri muudatuste või käivituskataloogi paigutamise kaudu
See omaduste kombinatsioon teeb AGEWHEEZE'ist mitmekülgse tööriista spionaažiks, külgliikumiseks ja pikaajaliseks süsteemi kahjustamiseks.
Petlik infrastruktuur ja tehisintellekti abil valmistatud tooted
Petturliku domeeni „cert-ua.tech” uurimine tõi ilmsiks märke automatiseeritud või tehisintellekti abil arendatud süsteemist. Veebisaidi HTML-lähtekoodis oli tähelepanuväärne venekeelne kommentaar „С Любовью, КИБЕР СЕРП” („Armastusega, KÜBERSEERP”), mis viitas omistamisele rühmitusele, kes nimetab end KüberSerpiks.
Cyber Serp on oma Telegrami kanali kaudu, mis loodi 2025. aasta novembris ja millel on üle 700 tellija, väitnud end olevat seotud Ukraina küberpõrandaliste ringkondadega. Grupp väitis avalikult, et andmepüügikampaania sihtis kuni miljonit e-posti kontot ja selle tulemusel rünnati üle 200 000 seadme – arvud, mis ületavad oluliselt sõltumatuid hinnanguid.
Vastuolulised väited ja laiem ohutegevus
Cyber Serp on püüdnud end positsioneerida valikulise osalejana, väites, et tavakodanikke ettevõtte tegevus ei mõjuta. Sellised väited on aga vastuolus laiaulatuslike andmepüügikampaaniate valimatu olemusega.
Eraldi intsidendis võttis grupp vastutuse Cipheri rikkumise eest, väites, et neil oli juurdepääs serveriandmetele, kliendiandmebaasidele ja omandiõigusega kaitstud lähtekoodile. Hiljem kinnitas Cipher töötaja volitusi hõlmavat piiratud ohtu sattumist, kuid rõhutas järgmist:
- Põhiinfrastruktuur jäi turvaliseks ja töökorras
- Mõjutatud kontol oli juurdepääs ainult ühele mittetundlikule projektile.
See lahknevus toob esile ohutegelaste seas levinud taktika, milleks on mõju liialdamine tajutava mõju ja usaldusväärsuse võimendamiseks.
Hindamine ja turvalisusega seotud tagajärjed
Kampaania näitab isikuandmete võltsimise taktika jätkuvat tõhusust, eriti usaldusväärsete riiklike küberturvalisuse üksuste kaasamisel. Kuigi otsene mõju oli piiratud, viitavad AGEWHEEZE'i tehniline keerukus ja levitamiskatsete ulatus püsivale ja muutuvale ohumaastikule.
Organisatsioonidel soovitatakse tugevdada e-posti aadresside kontrollimise protsesse, kontrollida soovimatuid manuseid ja koolitada töötajaid autoriteetsete institutsioonidega seotud isikuandmete võltsimise katsete äratundmises.
