O governo ucraniano foi hackeado, e de um jeito muito inusitado. Após ataques direcionados pela internet, suas redes foram novamente comprometidas por um arquivo trojan que se apresentava como uma versão legítima do Windows 10. Assim, era possível coletar dados de computadores comprometidos, implantar ferramentas maliciosas adicionais e extrair dados roubados para servidores controlados pelos invasores.

Os ataques foram descobertos nesta última quinta-feira (15), pela empresa de segurança cibernética Mandiat. Após detectarem diversos dispositivos infectados na rede, acharam tarefas agendadas configuradas em meados de julho de 2022 e projetadas para receber comandos que seriam executados via PowerShell, uma linha de comandos baseados em tarefas e linguagens de script, segundo o BleepingComputer. 

“Não houve indicação de motivação financeira para as invasões, seja pelo roubo de informações monetizáveis ​​ou pela implantação de ransomware ou cripto moradores”, disse a Mandiant. 

Após a empresa identificar o ataque, os invasores implantaram backdoors, que é um método para driblar arquivos criptografados ou de identificações, que lhe permitiam ter acesso aos computadores comprometidos. Assim, era possível executar comandos, transferir arquivos e roubar dados, como credenciais.  

Imagem mostra um vidro estilhaçado com a logomarca do Windows 10 ao centro
Imagem: Zvigo17/Shutterstock/Microsoft

O vírus trojan do Windows 10 foi distribuído por meio de plataformas de compartilhamento de arquivos torrent, em russo e ucraniano. Embora os hackers não vissem o governo ucraniano como principal objetivo, os agentes de ameaças analisaram os dispositivos infectados que realizaram ataques adicionais e mais focados naqueles determinados a pertencer a entidades governamentais.

“Avaliamos que o agente da ameaça distribuiu esses instaladores publicamente e, em seguida, usou uma tarefa de agendamento incorporada para determinar se a vítima deveria ter mais cargas úteis implantadas”, acrescentou Mandiant.