10 квітня 2025 року на сайті Symantec з’явилася інформація про нову кібератаку, яку здійснила російська хакерська група Shuckworm (також відома як Gamaredon або Armageddon). Цього разу їхньою мішенню стала іноземна військова місія, що базується в Україні. Атака тривала з кінця лютого до березня 2025 року, і хакери використали оновлену версію своєї шкідливої програми GammaSteel, щоб викрасти важливі дані. Розповідаємо, що сталося, як діють зловмисники та чому це небезпечно.
Хто такі Shuckworm і чому вони атакують Україну?
Shuckworm — це хакерська група, яка, за даними експертів, працює на замовлення Федеральної служби безпеки Росії (ФСБ). Вона активна з 2013 року і весь цей час зосереджена на шпигунстві проти України. Їхні основні цілі — урядові установи, правоохоронні органи, військові та оборонні організації. За останні роки Shuckworm здійснили тисячі атак, намагаючись викрасти секретну інформацію, яка може допомогти російським силам.
Цього разу хакери націлилися на військову місію однієї із західних країн, що працює в Україні. Експерти Symantec, які досліджували інцидент, зазначають, що атака почалася 26 лютого 2025 року, коли зловмисники використали заражену USB-флешку для проникнення в систему.
Як відбувалася атака?
Атака почалася з того, що хакери використали USB-накопичувач із шкідливим файлом під назвою "D:\files.lnk". Коли хтось із працівників підключив цей носій до комп’ютера, вірус почав діяти. Він створив спеціальний запис у системі Windows, який дозволив хакерам запустити свою програму.
Головним інструментом атаки стала оновлена версія шкідливої програми GammaSteel. Це так званий "інфостилер" — програма, яка краде дані з комп’ютера. Вона шукала файли з важливими розширеннями, наприклад, документи Word, Excel, PDF, текстові файли, і копіювала їх із робочого столу та папки "Документи". При цьому вірус уникав системних папок, щоб не привертати уваги.
Щоб викрасти дані, хакери використовували різні методи. Спочатку вони намагалися відправити інформацію через спеціальні вебзапити. Якщо це не спрацьовувало, вони застосовували інструмент cURL і мережу Tor, щоб приховати свою адресу і все ж передати вкрадене. Також є підозри, що для передачі даних використовувався вебсервіс write.as.
Експерти зазначають, що Shuckworm постійно вдосконалює свої методи, щоб залишатися непомітними. У цій атаці вони перейшли на використання інструментів, написаних на PowerShell, замість старих скриптів на VBS. Це дозволяє їм краще ховати свої дії, наприклад, зберігати шкідливі програми прямо в системному реєстрі Windows, що ускладнює їхнє виявлення.
Крім того, хакери часто змінюють свій код і використовують легітимні сервіси, щоб їхні дії виглядали як звичайна активність. Це допомагає їм уникати антивірусів і залишатися в системі довше. Атака була багатоступеневою: зловмисники діяли обережно, щоб не видати себе, і постійно маскували свої дії.
Чим це небезпечно для України?
Shuckworm уже багато років становить серйозну загрозу для України. Їхня головна мета — шпигунство. Вони крадуть дані, які можуть бути корисними для російських сил, наприклад, інформацію про військові операції, плани чи розташування військ. У цій конкретній атаці хакери націлилися на іноземну військову місію, що може свідчити про спробу отримати доступ до даних про міжнародну підтримку України.
Хоча Shuckworm вважається менш технічно просунутою групою порівняно з іншими російськими хакерами, вони компенсують це своєю наполегливістю. Вони постійно оновлюють свої інструменти і шукають нові способи проникнення в системи. Це означає, що організації в Україні та їхні партнери мають бути особливо пильними.
Як захиститися?
Symantec радить усім, хто працює з чутливою інформацією, регулярно оновлювати свої системи захисту. Їхні продукти вже можуть виявляти і блокувати GammaSteel, але важливо також перевіряти USB-накопичувачі перед використанням. Крім того, варто навчити працівників розпізнавати підозрілі дії, адже хакери часто використовують фішинг (обманні листи чи повідомлення) для першого проникнення.
Ця атака ще раз нагадує, що кіберзагрози залишаються серйозною проблемою для України, особливо в умовах війни. Shuckworm не зупиняється, і їхня активність лише зростає. Тож пильність і сучасні методи захисту — це те, що може допомогти уникнути нових атак.
Більше технічної інформації в матеріалі команди дослідників загроз в компанії Symantec