Pteedo Ușa din spate

Mai multe tulpini de malware utilizate în atacurile împotriva țintelor ucrainene sunt descoperite de analiștii de securitate cibernetică. Într-un raport, experții au dezvăluit detalii despre o operațiune a grupului infracțional cibernetic Gamaredon (de asemenea urmărit ca Armageddon/Shuckworm) și cea mai recentă creație de malware, numită Pteredo Backdoor.

Gamaredon este considerat a fi un grup de amenințare susținut de stat rus, care și-a manifestat un interes continuu și prelungit pentru lansarea de atacuri împotriva Ucrainei. Operațiunile sale împotriva țintelor din țară pot fi urmărite cel puțin din 2014. De atunci, se crede că grupul a efectuat peste 5.000 de operațiuni de atac care vizează aproximativ 1.500 de entități guvernamentale, publice și private.

În ceea ce privește malware-ul Pteredo (Pteranodon), analiza a arătat că este probabil un descendent al unei uși din spate care a fost oferită pe forumurile de hackeri din Rusia. Operatorii Gamaredon au dobândit amenințarea și și-au extins capacitățile prin module DLL specializate. Cele patru versiuni diferite ale Pteredo identificate în prezent pot colecta date de la dispozitivele încălcate, pot stabili conexiuni de acces la distanță și sunt echipate cu tehnici de analiză-evaziune.

Trebuie remarcat faptul că încărcăturile utile dislocate în atacul împotriva țintelor ucrainene sunt diferite, dar efectuează acțiuni similare odată activate. Cu toate acestea, fiecare sarcină utilă comunică cu o adresă diferită a serverului de comandă și control (C2, C&C). Scopul probabil al hackerilor Gamaredon este acela de a face curățarea dispozitivelor vizate prin instrumente anti-malware mult mai dificilă prin utilizarea unor încărcături utile ușor diferite.