Команда реагування на комп'ютерні надзвичайні події України CERT-UA спільно зі Службою зовнішньої розвідки України виявила нові модифікації шкідливого програмного забезпечення типу Pterodo на комп'ютерах державних органів України, яка ймовірно є підготовчим етапом для проведення кібератаки.
Цей вірус збирає дані про систему, регулярно надсилає їх на командно-контрольні сервери і чекає подальших команд, інформує прес-служба CERT-UA.
Версія: NEW-SAR_v.14
Основною відмінністю модифікації від попередніх версій є можливість інфікування системи через флеш-накопичувачі та інші знімні носії інформації, а також інфікування флеш-накопичувачів, що підключаються до ураженого комп'ютера для подальшого розповсюдження. Документи (.doc, .docx), зображення (.jpg) і текстові файли (.txt) копіюються в приховану папку MacOS з назвами FILE <довільне число>. <Розширення> (наприклад FILE3462.docx), а на флеш-накопичувачі створюються ярлики з оригінальними назвами файлів, які забезпечують одночасне відкриття скопійованого в папку MacOS оригіналу файлу і виконання створеного шкідливого файлу usb.ini.
Тіло вірусу всіх версій виконує такі самі функції, як і попередні версії: надсилає інформацію про систему, самооновлюється і за наявності завантажує компоненти.
Крім того, ця версія активується тільки на системах з локалізацією мов пострадянських держав, а саме: українська, білоруська, російська, вірменська, азербайджанська, узбецька, татарський та інші, - що ускладнює аналіз вірусу популярними автоматичними системами аналізу шкідливого програмного забезпечення.
Версія: arm_02.10
Основною відмінністю модифікації є відображення повідомлення під час активації файлу, яке зменшує ймовірність допускати, що це запустилася шкідлива програма. Крім того, у цій версії для кожної ураженої системи індивідуальна url-директорія із серійним номером накопичувача, на якому встановлена система, наприклад, bitsadmin.ddns [.] Net / 00000 / setup.exe, де "00000" - серійний номер, який свідчить про те, що зловмисники аналізують отриману інформацію про інфіковану систему та індивідуально для кожної системи визначають, які нові додатки завантажувати і запускати.
"Почерк" шкідливого програмного забезпечення характерний для цілеспрямованих APT атак і може свідчити про підготовку до цілеспрямованої кібератаки на комп'ютерні системи України. Бекдор Pterodo встановлює прихований доступ до комп'ютерних систем з метою використання або контролю в майбутньому, що може призвести до витоку інформації, блокування роботи, шифрування даних та інших зловмисних дій", - попереджають в CERT-UA.