RF w nietypowy sposób łamie urządzenia sił zbrojnych podłączonych do Starlink: Jak się zatrzymać
Odkryli, że grupa znana jako Secret Blizzard, Turla, Waterbug, Snake i jadowity niedźwiedzi używały serwerów i złośliwego oprogramowania innych organizacji hakerów, w szczególności Storol-1837, zaangażowanej w śledzenie ukraińskich dronów. Nie wiadomo, w jaki sposób uzyskała dostęp do tej infrastruktury prawdopodobnie został skradziony lub dostępny. Od marca do kwietnia 2024 r.
Secret Blizzard wykorzystał Amadey złośliwe oprogramowanie związane z grupą Storm-1919, aby pokonać urządzenia armii ukraińskiej z Droperem PowerShell. Ostatecznym celem było ustalenie „backdow”, aby znaleźć interesujące cele. W jednym z bota Amdey Microsoft znaleziono informacje zebrane z buforów urządzeń i haseł z przeglądarek. Ponadto oprogramowanie sprawdzało obecność programów przeciwwirusowych.
Następnie zainstalował specjalne narzędzie rozpoznawcze, które selektywnie rozwinęło się na urządzeniach zainteresowanych hakerami, na przykład na laptopach, które łączą się z satelitarnym Internetem StarLink - masowo używają sił Ukrainy na frontach. Następnie Rosjanie zainstalowali wirusa Tavdig w celu zebrania cennych informacji o użytkownikach i zainstalowania własnych ustawień. W styczniu 2024 r.
Microsoft Corporation zauważyła urządzenie wojskowe na Ukrainie, złamane wirusem Storm-1837, ustanowione do użycia interfejsu API telegramu do założenia polecenia uruchamiania (dostarczonego jako parametry) dla konta na platformie Mega File. Prawdopodobnie zmusił dotknięty system do pobrania i uruchamiania plików.
Microsoft zwrócił uwagę: następnie użył Droper PowerShell, bardzo podobny do tego, który zaobserwowano przy użyciu botów Amadey i zawierał dwa pliki w kodowaniu Base64, które zawierały Tavdig (rastls. dll) i plik binarny symantec (kavp. exe). Według ekspertów, Secret Blizzard wprowadził narzędzia do dotkniętych środków i osadził w nich nowe funkcje, aby uczynić je bardziej skutecznymi w szpiegowaniu ukraińskiego wojska.
Ponadto Secret Blizzard prawdopodobnie również próbował użyć tych punktów, aby rozszerzyć dostęp do ministerstwa. Aby chronić sieci, użytkownikom zalecono włączanie i skonfigurowanie aplikacji ochronnej Microsoft Defender. Może to zastosować dodatkowe zasady: dzień wcześniej na Białorusi ogłosili stworzenie ich analogowego gwiezdnego łącza o nazwie „Kulis”.