Οι ερευνητές της Google αναφέρουν ότι έχουν αποδείξεις για μια γνωστή ομάδα χάκερ που συνδέεται με τη Ρωσία, γνωστή ως “Cold River”, η οποία εξελίσσει τις τακτικές της πέρα από το phishing.
Ο στόχος της είναι να κλέψει δεδομένα μέσω κακόβουλου λογισμικού, με στόχο θύματα που τους αντιμετωπίζει.
Το Cold River, γνωστό και ως «Callisto Group» και «Star Blizzard», είναι γνωστό για τη διεξαγωγή μακροχρόνιων εκστρατειών κατασκοπείας εναντίον χωρών του ΝΑΤΟ, ιδιαίτερα των Ηνωμένων Πολιτειών και του Ηνωμένου Βασιλείου.
Διαβάστε επίσης: Ιρανοί hackers στοχεύουν ερευνητές με custom malware
Οι ερευνητές πιστεύουν ότι οι δραστηριότητες της ομάδας, που συνήθως στοχεύουν ατομα και οργανισμούς υψηλού προφίλ που εμπλέκονται σε διεθνείς υποθέσεις και την άμυνα, υποδηλώνουν στενούς δεσμούς με το ρωσικό κράτος. Τον Δεκέμβριο, οι εισαγγελείς των ΗΠΑ απήγγειλαν κατηγορίες σε δύο Ρώσους πολίτες που συνδέονται με την ομάδα.
Η Threat Analysis Group (TAG) της Google ανακοίνωσε σε μια νέα έρευνα αυτήν την εβδομάδα ότι παρατήρησε αυξημένη δραστηριότητα από την Cold River κατά τους τελευταίους μήνες και ότι χρησιμοποιεί νέες τακτικές που επιφέρουν μεγαλύτερη αναστάτωση στα θύματά της. Οι κύριοι στόχοι περιλαμβάνουν την Ουκρανία και τους συμμάχους της στο ΝΑΤΟ, καθώς και ακαδημαϊκά ιδρύματα και μη κυβερνητικές οργανώσεις.
Αυτές οι πρόσφατες ανακαλύψεις ακολούθησαν αμέσως μετά την αναφορά των ερευνητών της Microsoft, οι οποίοι αποκάλυψαν ότι η ομάδα χάκερ που συνδέεται με τη Ρωσία είχε βελτιώσει την ικανότητά της να αποφεύγει τον εντοπισμό.
Όταν το θύμα ανοίγει το “καλόβουλο” PDF, το κείμενο εμφανίζεται ως κρυπτογραφημένο. Αν ο στόχος δηλώσει ότι δεν μπορεί να διαβάσει το έγγραφο, ο χάκερ θα στείλει έναν σύνδεσμο που περιλαμβάνει ένα βοηθητικό πρόγραμμα “αποκρυπτογράφησης”. Οι ερευνητές της Google αναφέρουν ότι αυτό το πρόγραμμα είναι γνωστό ως “SPICA” και αποτελεί μια προσαρμοσμένη κερκόπορτα που παρακολουθείται. Η Google αναγνωρίζει το SPICA ως το πρώτο προσαρμοσμένο κακόβουλο λογισμικό που αναπτύχθηκε και χρησιμοποιείται από την Cold River. Αυτή η κερκόπορτα επιτρέπει στους χάκερς να έχουν συνεχή πρόσβαση στον υπολογιστή του θύματος, επιτρέποντάς τους να εκτελούν εντολές, να κλέβουν τα cookies του προγράμματος περιήγησης και να διαχειρίζονται έγγραφα.
Ο Billy Leonard, ένας μηχανικός ασφαλείας στην εταιρεία TAG, δήλωσε στο TechCrunch ότι η Google δεν έχει γνώση του ακριβούς αριθμού των θυμάτων που παραβιάστηκαν με επιτυχία από το SPICA. Ωστόσο, η εταιρεία πιστεύει ότι το SPICA χρησιμοποιήθηκε μόνο σε “περιορισμένες και στοχευμένες επιθέσεις”. Ο Billy Leonard πρόσθεσε ότι το κακόβουλο λογισμικό πιθανότατα εξακολουθεί να αναπτύσσεται και χρησιμοποιείται σε συνεχείς επιθέσεις, ενώ η δραστηριότητα του Cold River παρέμεινε σταθερή τα τελευταία χρόνια, παρά τις προσπάθειες επιβολής του νόμου.
Δείτε επίσης: Bigpanzi hackers: Το botnet τους στοχεύει Android TV boxes
Οι ερευνητές της Google είχαν προηγουμένως συνδέσει την ομάδα Cold River με μια επίθεση hack-and-leak που είχε ως αποτέλεσμα την κλοπή και διαρροή ενός μεγάλου αριθμού email και εγγράφων. Οι στόχοι αυτής της επίθεσης ήταν υψηλόβαθμοι υποστηρικτές του Brexit, συμπεριλαμβανομένου του Sir Richard Dearlove, πρώην επικεφαλής της βρετανικής υπηρεσίας πληροφοριών για το εξωτερικό, MI6.
Πηγή: techcrunch.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/511971/google-apokalyptei-taktikes-ths-rwsikhs-hacking-omadas-cold-river/&media=https://www.secnews.gr/wp-content/uploads/2024/01/cold-river.webp&description=Οι ερευνητές της Google αναφέρουν ότι έχουν αποδείξεις για μια γνωστή ομάδα χάκερ που συνδέεται με τη Ρωσία, γνωστή ως "Cold River", η οποία εξελίσσει τις τακτικές της πέρα από το phishing.){kind=link}