Giddome'i tagauks

Giddome'i tagaukse oht on Shuckwormi, Gamaredoni ja Armageddoni nimede all jälgitava küberkuritegeliku organisatsiooni kahjuliku arsenali põhielement. Pahavaraoht on suunatud Ukraina sihtmärkide vastu, käitumine on kooskõlas häkkerirühma varasema tegevusega.

Rünnakuoperatsiooniga saavutati esialgne juurdepääs ohvrite seadmetele andmepüügisõnumite kaudu, mis edastasid isepahanduva 7-Zip-i arhiivifaili, mis tõi XML-faili Shuckwormiga seotud alamdomeenilt. Teise võimalusena kasutasid ohus osalejad VBS-i allalaadijaid, et tuua ähvardav kasulik koormus. Lisaks Giddome'i tagauksele võtsid küberkurjategijad kasutusele Pterodo tagaukse ohu variandid, aga ka mitu PowerShelli infovarastaja varianti. Üksikasjad nende ohtude ja ründeoperatsiooni kohta avaldati avalikkusele pahavarauurijate raportis.

Kui Giddome on ohvri seadmes aktiveeritud, saab seda juhendada mikrofoni kontrolli alla võtma ja helisalvestisi tegema. Loodud failid laaditakse seejärel üles ründajate kontrollitavasse kaugkohta. Oht on ka võimeline tegema suvalisi ekraanipilte ja neid ka üles laadima. Tundliku teabe saamiseks saab Giddome luua seadmes klahvilogimise rutiinid, jäädvustades ohvrite sisendid. Lisaks saab tagaust kasutada .exe- ja .dll-failide toomiseks ning nende käivitamiseks/laadimiseks rikutud seadmetesse, andes ründajatele võimaluse tarnida täiendavaid kasulikke koormusi.

Küberkurjategijate rühmitus Shuckworm on arvatavasti Venemaaga tihedalt seotud, kui mitte osa riigi föderaalsetest julgeolekujõududest (FSB). Shuckwormile omistatud tegevused ulatuvad tagasi 2014. aastani, kusjuures ründeoperatsioonid olid järjekindlalt suunatud Ukraina võtmetähtsusega avalike ja eraüksuste vastu. Pärast Venemaa sissetungi Ukrainasse on häkkerid muutunud veelgi aktiivsemaks andmepüügirünnakute käivitamisel ning uute pahavara tüvede ja variantide juurutamisel.