Бекдор Птередо

Аналітики з кібербезпеки виявляють нові види шкідливих програм, які використовуються для атак на українські об’єкти. У звіті експерти розкрили подробиці операції кіберзлочинної групи Gamaredon (також відстежується як Armageddon/Shuckworm) та їх останнього створення шкідливого програмного забезпечення під назвою Pteredo Backdoor.

Вважається, що Гамаредон є спонсорованою російською державою загрозливою групою, яка демонструвала постійний і тривалий інтерес до нападів на Україну. Її операції проти цілей у країні можна простежити щонайменше з 2014 року. Вважається, що з тих пір угруповання провело понад 5000 операцій нападу, спрямованих на приблизно 1500 державних, державних і приватних організацій.

Що стосується шкідливого програмного забезпечення Pteredo (Pteranodon), то аналіз показав, що він, ймовірно, є нащадком бекдора, який пропонували на російських хакерських форумах. Оперативники Gamaredon отримали загрозу і ще більше розширили свої можливості за допомогою спеціалізованих модулів DLL. Ідентифіковані на даний момент чотири різні версії Pteredo можуть збирати дані з порушених пристроїв, встановлювати з’єднання віддаленого доступу та оснащені методами аналізу-ухилення.

Слід зазначити, що під час атаки на українські об’єкти використовувані корисні навантаження відрізняються, але після активації виконують подібні дії. Однак кожне корисне навантаження зв’язується з іншою адресою сервера командування та керування (C2, C&C). Ймовірна мета хакерів Gamaredon — зробити очищення цільових пристроїв за допомогою засобів захисту від шкідливих програм набагато складнішим за рахунок використання дещо іншого корисного навантаження.