Pteredo Backdoor

Analitiki za kibernetsko varnost odkrivajo več vrst zlonamerne programske opreme, ki se uporabljajo pri napadih na ukrajinske cilje. V poročilu so strokovnjaki razkrili podrobnosti o operaciji kibernetične kriminalne skupine Gamaredon (sledimo tudi kot Armageddon/Shuckworm) in njihovi najnovejši kreaciji zlonamerne programske opreme, imenovani Pteredo Backdoor.

Gamaredon naj bi bila skupina za grožnje, ki jo sponzorira ruska država in je izkazovala stalno in dolgotrajno zanimanje za napade na Ukrajino. Njene operacije proti tarčam v državi je mogoče zaslediti vsaj do leta 2014. Od takrat naj bi skupina izvedla več kot 5.000 napadov na približno 1.500 vladnih, javnih in zasebnih subjektov.

Kar zadeva zlonamerno programsko opremo Pteredo (Pteranodon), je analiza pokazala, da je verjetno potomec backdoor, ki je bil ponujen na ruskih hekerskih forumih. Operativci Gamaredona so pridobili grožnjo in so s specializiranimi moduli DLL dodatno razširili njegove zmogljivosti. Trenutno identificirane štiri različne različice Ptereda lahko zbirajo podatke iz vlomljenih naprav, vzpostavljajo povezave za oddaljeni dostop in so opremljene s tehnikami analize in izogibanja.

Treba je opozoriti, da je koristna obremenitev, uporabljena v napadu na ukrajinske cilje, drugačna, vendar izvaja podobna dejanja, ko je aktivirana. Vendar pa vsak tovor komunicira z drugim naslovom strežnika za upravljanje in nadzor (C2, C&C). Verjetni cilj hekerjev Gamaredon je, da bi čiščenje ciljnih naprav z orodji za zaščito pred zlonamerno programsko opremo naredili veliko težje z uporabo nekoliko drugačne koristne obremenitve.