Petek, 24. 10. 2025, 15.41
3 ure, 18 minut
V Ukrajini so dobili zelo nevarno pismo: Tarče smo lahko vsi
Termometer prikazuje, kako vroč je članek.
Termometer prikaže, kako vroč je članek.
2,29
Za zdaj še neznani storilci so prejemnike dokumenta poskusili prepričati, da so ga poslali iz urada predsednika Ukrajine Volodimirja Zelenskega.
Ukrajinske vladne institucije in organizacije, ki se ukvarjajo z zbiranjem pomoči za Ukrajino, pa tudi Rdeči križ in Unicef, so prejeli ponarejen dokument iz urada predsednika Ukrajine Volodimirja Zelenskega. Ta jih je pozival k udeležbi na videokonferenci o razseljenih osebah, ki jih je v zapustitev domov prisilila ruska invazija. Vsi prejemniki, ki bi upoštevali navodila, so v resnici tvegali, da postanejo žrtve kibernetskega napada. Kdo je v ozadju zelo sofisticiranega napada, s katerim se sicer lahko sreča vsak uporabnik, saj je ta metoda kiberkriminalcev vse bolj razširjena, še ni znano, sledi pa vodijo v Rusijo.
Domnevno pismo iz urada predsednika Ukrajine Volodimirja Zelenskega je bilo ponarejeno, resnični namen pošiljateljev, ki so za zdaj še neznani, pa je bil prejemnike prepričati, da poskusijo sodelovati v videokonferenci prek aplikacije Zoom, so ugotovili v podjetju s področja kibernetske varnosti SentinelOne.
Izvirno pismo (levo), ki so ga prejeli v Ukrajini, in Googlov prevod v slovenski jezik (desno).
Ukrajinske vladne institucije, nevladne organizacije in druge iniciative, ki zbirajo sredstva za pomoč, ki jo Ukrajina potrebuje za boj proti posledicam ruske invazije, so pismo prejele 6. oktobra, sestanek prek videokonferenčne aplikacije pa bi moral biti 8. oktobra.
Kot opozarjajo v podjetju SentinelOne, so za zdaj še neznani napadalci – sledi sicer vodijo v Rusijo, saj so odkrili, da je ključna programska koda slonela na ruski infrastrukturi – za kampanjo porabili ogromno časa. Nekatere internetne domene, ki so jih uporabljali, da bi prejemnike v Ukrajini prepričali o legitimnosti dokumenta in povezanih zahtev, so namreč registrirali že marca letos, torej pred več kot pol leta.
Sledi vodijo v Rusijo, saj je zlonamerna koda, ki je ključni element prevare, gostovala na ruski infrastrukturi, a za zdaj še ni dokazov, da so v ozadju poskusa kibernetskega napada res Rusi, opozarjajo v podjetju SentinelOne.
Kaj se je zgodilo, če so prejemniki poskusili slediti povezavi v dokumentu?
Ob kliku na povezavo, ki je vodila do lažne spletne strani videokonferenčne aplikacije Zoom – gostovala je na naslovu zoomconference.app in je zgolj posnemala pravi Zoom –, je morala velika večina prejemnikov opraviti tako imenovano varnostno preverjanje, s katerim bi dokazali, da za računalnikom sedi pravi človek in da se domnevni videokonferenci ne poskuša pridružiti bot, torej računalniški program.
Varnostno preverjanje bi opravili tako, da bi v pojavnem oknu kliknili na gumb z Napisom Kopiraj žeton in kopirano besedilo – domnevni žeton – nato prilepili v Ukazni poziv (Power Shell) v operacijskem sistemu Windows.
Prevod poziva prejemnikom dokumenta, naj kopirajo žeton za varnostno preverjanje. V ozadju je v resnici zlonamerna koda. Prevedeno v slovenščino z Googlovim prevajalnikom.
Kaj se je v tem primeru res zgodilo? Koda, ki so jo prilepili v ukazni poziv, je na računalnik na skrivaj najprej prenesla zlonamerni program, ki je zbral osnovne podatke o računalniku in preveril, ali je pravi kandidat za nadaljnjo okužbo.
Če je bila povratna informacija pritrdilna, se je na računalnik brez vednosti uporabnika namestil trojanski konj RAT (WebSocket Remote Access Trojan), ki omogoča vohunjenje za lastniki računalnikov, krajo njihovih podatkov in celo prevzem nadzora nad sistemom.
Klikni in popravi: tarča je lahko prav vsak uporabnik svetovnega spleta, poskusi vse pogostejši
Gre za vrsto tako imenovanega kibernetskega napada ClickFix, ki je ime dobil po prvih različicah prevare. Na kompromitiranih spletnih straneh so se v zadnjem letu namreč začeli pojavljati pozivi obiskovalcem, da je z njihovim računalnikom oziroma programsko opremo nekaj narobe. Težave lahko odpravijo tako, da kliknejo na gumb v pozivu na zaslonu, ki bo kopiral "zdravilno" programsko kodo, to pa nato prilepijo v Ukazni poziv.
Primer poskusa kibernetskega vdora z domnevnim odpravljanjem napake v orodju Word Online, ki se je pojavilo po odprtju dokumenta z zlonamernim makrom.
Bistvo napada je, da goljufi, kiberkriminalci ali dejanski hekerji svojo potencialno žrtev prepričajo, da svoj računalnik pod pretvezo odpravljanja napake ali nameščanja nujne posodobitve okuži kar sama.
Na napade ClickFix v zadnjem obdobju vse pogosteje opozarjajo številna podjetja, ki se ukvarjajo s kibernetsko varnostjo, med drugim ESET, Kaspersky, BitDefender, McAfee in drugi.
Pozivi k ukrepanju se običajno pojavijo predvsem na spletnih straneh, na katere lahko uporabniki naletijo prek povezav na družbenih omrežjih ali pa jih od neznancev prejmejo v sporočilu SMS in odprejo na računalniku, lahko pa so tudi povsem legitimne spletne strani, ki so bile tarče kibernetskih vdorov in "dodelane" za napade tipa ClickFix.
V podjetju SentinelOne so dogodek v Ukrajini opisali še kot izjemno specifičen, saj je poskus kibernetskega napada prek ponaredka uradnega dokumenta potekal samo en dan, in sicer 8. oktobra.
Napadalci naj bi imeli pripravljen tudi rezervni scenarij, in sicer lažno videokonferenco, kjer bi se igralci izdajali za ukrajinske uradnike, najverjetneje pa bi šlo za poskus družbenega inženiringa. Ali so jo dejansko izvedli, ni znano.
