By Eliza Popova
Descubrieron que el grupo conocido como Secret Blizzard, Turla, Waterbug, Snake y Venomous Bear usaban servidores y software malicioso de otras organizaciones de hackers, en particular, Storol-1837, involucrados en el seguimiento de los drones ucranianos. Se desconoce cómo obtuvo acceso a esta infraestructura probablemente fue robada o accedida.
Desde marzo hasta abril de 2024, Secret Blizzard utilizó un software malicioso Amadey relacionado con el Grupo Storm-1919 para derrotar los dispositivos del ejército ucraniano con el PowerShell Drower. El objetivo final era establecer una "trasera" para encontrar objetivos interesantes. En uno de los bot de Amdey Microsoft, se encontró la información recopilada de los búferes de dispositivos y contraseñas de los navegadores.
Además, el software verificó la presencia de programas antivirales. Luego instaló una herramienta de reconocimiento especial que se desarrolló selectivamente en dispositivos interesados en los piratas informáticos, por ejemplo, en computadoras portátiles que se conectan a la Internet satelital Starlink: usan las fuerzas de Ucrania masivamente en los frentes.
Después de eso, los rusos instalaron el virus Tavdig para recopilar información valiosa del usuario e instalar su propia configuración. En enero de 2024, Microsoft Corporation notó un dispositivo militar en Ucrania, roto por el virus Storm-1837, listo para usar la API de Telegram para comenzar el comando de puesta en marcha (proporcionado como parámetros) para una cuenta en la plataforma de archivos mega. Probablemente obligó al sistema afectado a descargar y ejecutar archivos.
Microsoft llamó la atención: luego usó PowerShell Drower, muy similar al que se observó cuando se usaba bots amadey y contenía dos archivos en la codificación Base64 que contenía Tavdig (Rastls. dll) y el archivo binario Symantec (kavp. exe). Según los expertos, Secret Blizzard ha lanzado herramientas sobre los medios afectados y las nuevas funciones integradas en ellos para hacerlas más efectivas para espiar a un ejército ucraniano de lactancia.
Además, Secret Blizzard probablemente también intentó usar estos puntos para extender el acceso al ministerio. Para proteger las redes, se recomendó a los usuarios encender y configurar la aplicación de protección de defensor de Microsoft. Puede aplicar reglas adicionales: el día anterior en Bielorrusia, declararon la creación de su Starlink analógico llamado "Kulis".
Español
Українська
English
USA
Français
Deutsch
Italiano
Polski
Čeština
Slovensku
