Компанія Google повідомила (через Android Headlines) про виявлення нового російського шпигунського програмного забезпечення під назвою LostKeys, яке використовується хакерською групою ColdRiver, пов’язаною з російським ФСБ. Це ПЗ призначене для викрадення файлів та системних даних у західних організацій.
За даними Google Threat Intelligence Group (GTIG), LostKeys застосовується у спеціальних атаках типу ClickFix, які базуються на соціальній інженерії і починаються з підробленої капчі. Жертв обманом змушують запускати шкідливі скрипти PowerShell, що відкривають шлях для завантаження та виконання додаткових шкідливих програм. Основна мета — встановлення LostKeys, яке працює як цифровий пилосос, витягуючи файли, каталоги та системну інформацію. Хакери також використовують інші шкідливі програми, зокрема SPICA, для отримання документів.
Група ColdRiver діє з 2017 року та відома під іншими назвами, такими як Star Blizzard і Callisto Group. Повідомляється, що в останні роки вона активізувалась, особливо з початком вторгнення росії в Україну. Група спеціалізується на кібершпигунстві, атакуючи урядові та оборонні установи, аналітичні центри, політиків, журналістів та неурядові організації.
США вже ввели санкції проти окремих членів групи та оголосили винагороду в розмірі $10 мільйонів за інформацію, що допоможе їх затримати.
Фахівці Google наголошують на необхідності посилення кібербезпеки, особливо для організацій, які можуть стати потенційними жертвами атак ColdRiver. Вони рекомендують використовувати розширений захист Google, а також регулярно оновлювати системи безпеки для запобігання подібним загрозам.