Pteredo Backdoor

Kyberturvallisuusanalyytikot ovat paljastaneet lisää haittaohjelmakantoja, joita käytetään hyökkäyksissä ukrainalaisia kohteita vastaan. Raportissa asiantuntijat paljastivat yksityiskohtia kyberrikollisryhmän Gamaredon (jota jäljitetään myös nimellä Armageddon/Shuckworm) operaatiosta ja heidän viimeisimmästä haittaohjelmaluonnostaan nimeltä Pteredo Backdoor.

Gamaredonin uskotaan olevan Venäjän valtion tukema uhkaryhmä, joka on osoittanut jatkuvaa ja pitkäaikaista kiinnostusta hyökkäysten käynnistämiseen Ukrainaa vastaan. Sen toiminnat maassa sijaitsevia kohteita vastaan voidaan jäljittää ainakin vuoteen 2014 asti. Sen jälkeen ryhmän uskotaan tehneen yli 5 000 hyökkäysoperaatiota, jotka kohdistuivat noin 1 500 valtion, julkisen ja yksityisen tahon kohteeksi.

Mitä tulee Pteredo (Pteranodon) -haittaohjelmaan, analyysi on paljastanut, että se on todennäköisesti venäläisillä hakkerifoorumeilla tarjotun takaoven jälkeläinen. Gamaredonin työntekijät saivat uhan ja ovat laajentaneet sen ominaisuuksia erikoistuneiden DLL-moduulien avulla. Tällä hetkellä tunnistetut neljä erilaista Pteredo-versiota voivat kerätä tietoja rikkoutuneista laitteista, muodostaa etäkäyttöyhteyksiä ja on varustettu analyysi-väistötekniikoilla.

On huomattava, että ukrainalaisia kohteita vastaan tehdyssä hyökkäyksessä käytetyt hyötykuormat ovat erilaisia, mutta ne suorittavat samanlaisia toimia aktivoituaan. Jokainen hyötykuorma viestii kuitenkin eri Command-and-Control (C2, C&C) palvelinosoitteen kanssa. Gamaredon-hakkereiden todennäköinen tavoite on tehdä kohdelaitteiden puhdistamisesta haittaohjelmien torjuntatyökaluilla paljon vaikeampaa käyttämällä hieman erilaisia hyötykuormia.