Группировка хакеров Cold River, предположительно связанная с российскими спецслужбами, совершила серию кибератак на сервера стран блока НАТО, сообщили эксперты по кибербезопасности Google из подразделения Threat Analysis Group (TAG).
Известная также как Callisto Group и Star Blizzard группировка осуществляет шпионские операции в основном в США и Великобритании. Cold River выбирает в качестве целей высокопоставленных личностей и организации, занимающиеся международной деятельностью и обороной.
Кибератаки группировки осуществляются с использованием фишинговой схемы, впервые выявленной в ноябре 2022 года. Потенциальной жертве направляется PDF-документ, маскированный под статью, на которую предполагается получить отзыв. После открытия безопасного PDF-файла, вид которого подразумевает шифрование, жертве предлагается утилита для расшифровки. Этот инструмент, на самом деле, является бэкдором SPICA, разработанным Cold River. SPICA предоставляет злоумышленникам постоянный доступ к компьютеру жертвы, позволяя выполнять команды, крадет документы и файлы cookie из браузера.
Инженер по кибербезопасности TAG, Билли Леонард, сообщил, что Google не может точно определить количество скомпрометированных жертв, но отметил, что бэкдор SPICA используется в ограниченных и целенаправленных атаках. Эксперты полагают, что разработка SPICA продолжается, и бэкдор продолжает использоваться в активных атаках Cold River. Несмотря на усилия правоохранительных органов, группировка Cold River остается стабильно активной.
Google приняла меры по защите пользователей, добавив все связанные с Cold River домены, сайты и файлы в базу службы Safe Browsing при обнаружении активной кампании по распространению вредоносного ПО. Ранее Cold River была связана с операцией по взлому и утечке информации, в ходе которой были похищены электронные письма и документы высокопоставленных сторонников выхода Великобритании из Евросоюза, включая сэра Ричарда Дирлава, бывшего главу британской службы внешней разведки MI6.