GhostShell: UAV fejlesztés célpontban
A Synaptic Systems kutatása a GhostShell célzott kiberműveletet mutatja be, amely az ukrán UAV-fejlesztőket, dróngyártókat, védelmi beszállítókat és katonai egységeket veszi célba. A támadók hitelesnek tűnő, drónokkal és beszerzésekkel kapcsolatos dokumentumokat terjesztenek, amelyek fertőzött RAR-fájlokat tartalmaznak. A csomag egy VBS alapú indítót futtat, amely memóriában tölti be a második fázisú kártevőt, így elkerüli a lemezre írást és megnehezíti a hagyományos vírusvédelmi megoldások észlelését. A malware implantátumonként egyedi PKI-t alkalmaz a titkosított kommunikációhoz, támogatja a dinamikus modulbetöltést, a távoli parancsvégrehajtást, a fájlkezelést és a hosszú távú perzisztenciát.
A kampány elsődleges célja az ukrán drónprogramokkal, fejlesztésekkel és a védelmi ellátási lánccal kapcsolatos hírszerzési információk megszerzése.
A kutatók szerint a GhostShell fejlett műveleti biztonsági megoldásokat alkalmaz, a memóriában futó komponensek, a titkosított C2-kommunikáció, az implantátumonként eltérő tanúsítványok és a minimális lemezaktivitás mind a felderítés elkerülését szolgálják.
A kampány az Ukrajnával kapcsolatos, hosszú távú kiberkémkedési műveletekhez illeszkedik, ahol a cél nem az azonnali rombolás, hanem a dróntechnológiák, gyártási kapacitások, beszerzési folyamatok és logisztikai láncok feltérképezése. A védelmi ipari és beszállítói háttér ugyanúgy célponttá vált, mint a közvetlen katonai infrastruktúra, ezért a védelmi ipar szereplőinek fokozott figyelmet kell fordítaniuk a célzott adathalász támadások, a memóriában futó kártevők és az ellátási láncot érintő kompromittálási kísérletek felismerésére.