Операция Potao оказалась нацелена на госслужбы Украины и России

Специалисты антивирусной компании ESET расследовали серию киберкампаний с применением шпионского программного обеспечения Win32/Potao. Данные атаки осуществляются уже более 4 лет, а в число жертв входят правительство и военные ведомства Украины.
Вредоносное ПО Win32/Potao - это модульный инструмент для кибершпионажа, а атаки с его применением относятся к типу Advanced Persistent Threat (постоянные угрозы повышенной сложности).
По словам специалистов, Potao применялся в масштабных таргетированных киберкампаниях.
Первые образцы этого ПО датируются 2011 годом, однако отмечается, что атаки с его применением до настоящего времени оставались вне публичного поля. В 2014-2015 годах был замечен значительный рост числа заражений. Это может быть связано, по мнению экспертов, с добавлением механизма заражения съемных USB-носителей.
Осенью 2013 года были выявлены отладочные версии Win32/Potao. Эксперты считают, что атакующие приступили к подготовке таргетированных атак на украинских пользователей. В 2014 году операторы Potao освоили новый вектор заражения.
В частности, ими была создана вредоносная веб-страница MNTExpress, которая имитирует сайт сервиса Pony Express. Жертвы получали сообщения с вредоносной ссылкой, «трек-кодом» и личным обращением, что указывает на точную нацеленность атаки.
В марте 2015 года был использован аналогичный сценарий. Тогда атакующие зарегистрировали домен WorldAirPost.com с дизайном сайта Singapore Post.
Украинский этап «Операции Potao» начался в 2014 году, а в марте 2015 года были выявлены образцы Potao на стратегических объектах, включая правительство, одно из крупнейших информационных агентств и военные ведомства.
Осуществляются эти атаки посредством фишинговых сообщений электронной почты с вредоносными вложениями (исполняемые файлы под видом документов Microsoft Word).
Эксперты отмечают, что стоящая за распространением Potao кибергруппа все еще активна, на что указывает образец вредоносного ПО от 20 июля текущего года направленный потенциальной жертве в Грузии. В качестве документа-приманки используется pdf-файл.
Комментарии читателей Оставить комментарий
Для начала можно просто взять за правило никогда не работать обычным образом из профиля с правами администратора и не поскупится на приобретение и установку антивируса и фиревола.
Помешанные на безопасности могут работать в интернете из-под Linux, запущенного на виртуальной машине..
Документ Word сам по себе может являться исполняемым файлом. Фактически это программа на языке Visual Basic for Applications, задачей которой является обработка и вывод некоторой информации. Об этом уже мало кто помнит, но программы на древних диалектах Бейсика содержали в себе данные, точно так же, как сейчас упомянутые doc-файлы. Немного другой подход используется в Open Document format. Там, насколько мне известно, собственно данные и методы их обработки разделены, а затем упакованы в один архив.
Один из способов работы с потенциально зараженным документом: Открыть файл на изолированной машине ("в карантине"), Выделить все, скопировать в системный буфер (Ctrl-C), закрыть программу обработки документа (Например, Office Word), открыть снова и скопировать содержимое в пустой документ (Ctrl-V). Или, еще лучше, открыть приложение OpenOffice Writer, и скопировать туда. Аналогичные способы борьбы с вирусами в необходимых документах можно применять и для других форматов файлов. Необходимо лишь придерживаться принципа: предпочитать свободно-распространяемое ПО (не взломанное!) и более старые (а следовательно и простые) версии документов (не касается продуктов Microsoft) и не пользоваться теми функциями, без которых можно обойтись.