By Eliza Popova
Ils ont constaté que le groupe connu sous le nom de Secret Blizzard, Turla, Waterbug, Snake et Venomous Bear utilisait des serveurs et des logiciels malveillants d'autres organisations de pirates, en particulier, Storol-1837, impliqués dans le suivi des drones ukrainiens. On ne sait pas comment elle a eu accès à cette infrastructure a probablement été volée ou accessible.
De mars à avril 2024, Secret Blizzard a utilisé des logiciels malveillants Amadey liés au groupe Storm-1919 pour vaincre les appareils de l'armée ukrainienne avec le PowerShell Duller. Le but ultime était de fixer une "backdow" pour trouver des objectifs intéressants. Dans l'un des bot d'Amdey Microsoft, les informations collectées dans les tampons des appareils et les mots de passe des navigateurs ont été trouvées. De plus, le logiciel a vérifié la présence de programmes antiviraux.
Il a ensuite installé un outil de reconnaissance spécial qui s'est déroulé sélectivement sur des appareils qui étaient intéressés par les pirates, par exemple, sur des ordinateurs portables qui se connectent à Internet Satellite StarLink - ils utilisent massivement les forces de l'Ukraine sur les fronts. Après cela, les Russes ont installé le virus Tavdig pour collecter des informations utilisateur précieuses et installer leurs propres paramètres.
En janvier 2024, la Microsoft Corporation a remarqué un appareil militaire en Ukraine, brisé par le virus Storm-1837, prêt à utiliser l'API Telegram pour démarrer la commande de mise en service (fournie comme paramètres) pour un compte sur la plate-forme de fichiers Mega. Il a probablement forcé le système affecté à télécharger et à exécuter des fichiers.
Microsoft a attiré l'attention: puis a utilisé PowerShell Dropher, très similaire à celui qui a été observé lors de l'utilisation de bots Amadey et contenait deux fichiers dans le codage de base64 qui contenait Tavdig (Rastls. dll) et le fichier binaire Symantec (Kavp. exe). Selon des experts, Secret Blizzard a lancé des outils sur les moyens affectés et a intégré de nouvelles fonctions pour les rendre plus efficaces pour espionner une militaire ukrainien infirmière.
De plus, Secret Blizzard a probablement également tenté d'utiliser ces points pour étendre l'accès au ministère. Pour protéger les réseaux, les utilisateurs ont été recommandés pour activer et configurer l'application de protection Microsoft Defender. Il peut appliquer des règles supplémentaires: la veille au Bélarus, ils ont déclaré la création de leur lien d'étoile analogique appelé "Kulis".
Français
Українська
English
USA
Deutsch
Italiano
Polski
Čeština
Español
Slovensku
