Специалистами антивирусной компании ESET проведено расследование серии кибератак, осуществленных с помощью шпионского программного обеспечения Win32/Potao. Кибератаки продолжаются более четырех лет. В числе пострадавших государственные службы Украины и России.
Win32/Potao является уникальным модульным инструментом для шпионажа. Кибератаки с использованием Potao относят к типу так называемых «постоянных угроз повышенной сложности». Так же, как и в случае с вирусами BlackEnergy и Stuxnet, Potao применяли в ходе широкомасштабных нацеленных киберкампаний.
Potao впервые появился в 2011 году, но факты его использования в рамках кибератак до этого момента оставались неизвестными широкой публике. По информации ESET LiveGrid, в 2014-2015 годах значительно возрастает число заражений. Эксперты ESET считают, что это связано с появлением механизма заражения съемных USB-носителей.
Осенью 2013 г. были обнаружены отладочные версии Potao. По мнению экспертов ESET, тогда злоумышленники начали подготовку кибератак на украинских пользователей.
Группа хакеров Potao в 2014 году создала вирусный веб-сайт MNTExpress, который имитирует сайт российского сервиса Pony Express. Преступниками часто распространяются вредоносные программы в виде сообщений от сервисов доставки, но операторы Potao действовали по-другому. Потенциальные жертвы получали SMS-сообщения, содержащие вредоносную ссылку, «трек-код» и личное обращение. Все это подтверждает, что атаки были точно нацелены. По похожему сценарию проходила киберкампания в марте этого года. Тогда злоумышленниками была создана страница WorldAirPost.com, имевшая дизайн сайта Singapore Post.
Действия против Украины группой хакеров Potao были развернуты в 2014 году. В марте этого года экспертами ESET обнаружено наличие шпионского ПО в сетях правительства, военных ведомств и одного из крупнейших информационных агентств. Кибератаки проводились через фишинговые сообщения, отправленные по электронной почте с вложенными вредоносными файлами в виде документов MS Word с названиями, привлекающими внимание.
Хакеры, которые стоят за распространением Potao, по-прежнему активны. Это подтверждается тем, что в этом месяце был зафиксирован образец вредоносного ПО, который был направлен потенциальной жертве в Грузии. В роли файла-приманки выступил pdf-документ.