Grupi famëkeq rus i hakerëve Fancy Bear që njihet gjithashtu si APT28 dhe Strontium po synon agjencitë qeveritare të vendeve anëtare të NATO-s.
Grupi i cili dyshohet se ishte prapa hakimeve në Konventën Kombëtare Demokratike në vitin 2016 në SHBA, tani po përdor malware të sofistikuar të quajtur Zebrocy Delphi për të synuar organet qeveritare dhe për të vjedhur të dhëna.
Për herë të parë të zbuluar nga QuoIntelligence në gusht 2020, studiuesit e sigurisë kibernetike në kompani zbuluan se malware ishte maskuar në formën e materialeve të rreme të trajnimit të NATO-s që dërgoheshin në kompjuterët e synuar.
Në vështrimin e parë, do të dukej se materialet e trajnimit ishin legjitime, por një vështrim nga afër zbuloi qëllimin dashakeqës.
Materiali i kursit i shpërndarë nga APT28 përmbante “Kursi 5 – 16 Tetor 2020.zipx”.
Dosja duket si një skedar zip i arkivuar që përmban materiale të NATO-s. Kur studiuesit riemërtuan shtrirjen zip në .jpg, ata zbuluan se ajo sillej tamam si një skedar imazhi, duke treguar logon e Shtabit Suprem të Fuqive Aleate të Evropës (SHAPE), Operacionet e Komandës Aleate të NATO-s (ACO) në Belgjikë. Sidoqoftë, nuk ishte ajo që dukej.
Kur studiuesit gërmuan thellë, ata gjetën “skedarin zip të bashkuar”. “Kjo teknikë funksionon sepse skedarët JPEG analizohen nga fillimi i skedarit dhe disa zbatime Zip analizojnë skedarët Zip nga fundi i skedarit (pasi indeksi është i vendosur atje) pa shikuar nënshkrimin në pjesën e përparme”, shpjeguan studiuesit.
Përmes kësaj teknike, hakerët e Fancy Bear donin të shmangnin zbulimin antivirus pasi programi kompjuterik do të kalonte duke e testuar duke e gabuar atë për një skedar imazhi (JPG / JPEG).
Sidoqoftë, për të dekompresuar skedarin, duhet të përdorni WinRAR.
Nëse viktima përdor WinZip ose ndonjë program tjetër dekompresimi, do të tregonte një mesazh gabimi që pretendon se skedari është i korruptuar.
Pasi të dekompresohen, dy skedarë tregohen “Kursi 5 – 16 Tetor 2020.exe” dhe “Kursi 5 – 16 tetor 2020.xls”. Skedari excel, megjithatë, nuk mund të hapet nga Microsoft Excel pasi tregon i korruptuar.
Studiuesit zbuluan se dosja përmbante informacione në lidhje me personelin ushtarak për një “Mision të Bashkimit Afrikan për Somalinë”.
Sidoqoftë, synimi ishte të tërhiqte viktimën në hapjen e skedarit tjetër i cili vjen me një ikonë PDF dhe përmbante malware Zebrocy Delphi. Nëse shtesat e skedarëve nuk tregohen, viktima do të klikonte në mënyrë të paditur në PDF por është një skedar i ekzekutueshëm (.exe) duke e gabuar atë për PDF me materialin e kursit.
Pasi të ekzekutohet, skedari heq malware-in Zebrocy dhe krijon një detyrë të planifikuar për të dërguar të dhënat e vjedhura në një server të largët. Ai gjithashtu komunikon me një komandë dhe kontroll (C2) në Francë. Sipas BleepingComputer, malware-i Zebrocy mund të përdoret për qëllime të shumëfishta. Mund të krijojë dhe modifikojë skedarë, të marrë pamje nga ekrani dhe të ekzekutojë komanda.
QuoIntelligence zbuloi se Azerbajxhani ishte shënjestruar me malware. Megjithëse vendi nuk është pjesë e NATO-s, ai bashkëpunon me aleancën dhe merr pjesë në stërvitjet trajnuese. Studiuesit besojnë se shumë vende të tjera të NATO-s mund të jenë shënjestruar tashmë.