Po uruchomieniu złośliwe oprogramowanie może spowodować poważne uszkodzenie zainfekowanego urządzenia. Otwarcie załącznika wiadomości e-mail to wszystko, czego potrzeba, aby zapewnić mu wystarczające warunki, żeby zaczęło siać spustoszenie. Program jest tak dobrze napisany, że można niemal z całkowitą pewnością podejrzewać, że stoi za nim grupa hakerska opłacana przez rząd jakiegoś państwa, zainteresowanego w sianiu spustoszenia i strachu.

Unit 42, zespół ds. analiz z Palo Alto, opublikował specjalny raport w całości poświęcony temu konkretnemu zagrożeniu. Według zespołu specjalistów sposób tworzenia, pakowania i wdrażania szkodliwego oprogramowania jest bardzo podobny do różnych technik wykorzystywanych przez grupę APT29, znaną również pod nazwami Iron Ritual i Cozy Bear. Grupę tę przypisano rosyjskiej Służbie Wywiadu Zagranicznego (SVR), co wskazuje, że omawiane złośliwe oprogramowanie mogło powstać z inspiracji władz tego kraju.

Złośliwe oprogramowanie niewykrywalne przez antywirusy!

Według Unit 42 szkodliwe oprogramowanie zostało po raz pierwszy zauważone w maju 2022 roku i zostało ukryte w dość dziwnym typie pliku — ISO, który jest plikiem obrazu dysku używanym do przenoszenia całej zawartości dysku optycznego. Plik zawiera złośliwy ładunek, który według Unit 42 został utworzony przy użyciu narzędzia o nazwie Brute Ratel (BRC4).

Szczyci się ono tym, że jest trudne do wykrycia, ponieważ autorzy narzędzia dokonali inżynierii wstecznej oprogramowania antywirusowego, dzięki czemu złośliwe pliki mogą być niemal perfekcyjnie ukryte, gdyż potrafią zamaskować się przed klasycznymi sposobami wyszukiwania przez antywirusy. Brute Ratel jest szczególnie popularny w przypadku APT29, co jest dodatkowym argumentem potwierdzającym, że to złośliwe oprogramowanie może być powiązane z rosyjską grupą Cozy Bear.

Plik ISO udaje życiorys człowieka o nazwisku Roshan Bandara. Po dotarciu do skrzynki pocztowej odbiorcy nic nie robi, ale po kliknięciu montuje się jako dysk Windows i wyświetla plik o nazwie „Roshan-Bandara_CV_Dialog". W tym momencie łatwo dać się oszukać — ponieważ plik wygląda jak typowy plik Microsoft Word, ale po kliknięciu, uruchamia cmd.exe i instaluje BRC4. Kiedy to się stanie, komputer jest całkowicie bezbronny i może się na nim dzieć wszystko, co wymyślili sobie napastnicy.

Unit 42 zauważa, że znalezienie tego złośliwego oprogramowania jest niepokojące z wielu powodów. Po pierwsze, istnieje duże prawdopodobieństwo, że jest on powiązany z APT29. Poza wymienionymi powyżej przyczynami plik ISO został utworzony w tym samym dniu, w którym upubliczniono nową wersję BRC4. Sugeruje to, że autorzy cyberataków wspierani przez państwo mogą tak planować swoje ataki, aby wdrożyć je w najbardziej dogodnych momentach. APT29 ma już bogatą przeszłość z użytkowaniem złośliwych plików ISO w przeszłości, a więc taka teoria ma sens.

Po drugie – tak wysoka niewykrywalność jest niepokojąca. Chodzi o to, że aby złośliwe oprogramowanie było tak ukryte, wymaga dużo pracy, czasu i pieniędzy. Dlatego też nie powstaje dla zabawy i z pewnością jest używane, żeby stanowić realne zagrożenie. Trudno przewidzieć skalę działania i zakres uszkodzeń, jakie może ze sobą nieść. Trudno też przewidzieć częstotliwość ataków i określić ich cele.

Jak sami widzicie, nie jesteśmy bezpieczni i posiadanie antywirusa nie powinno wyłączać naszej czujności. Dlatego bardzo uważniej przyglądajmy się plikom, jakie otrzymujemy wraz z pocztą e-mail, weryfikujmy nadawców i treść, zanim cokolwiek klikniemy. Możemy się przez to narazić na realne straty i wiele nerwów.