Złośliwe urządzenie i niepozorny plik
Za pozornie zwyczajnym nośnikiem danych – prawdopodobnie pendrivem – ukrywał się złożony mechanizm służący do infiltracji systemów komputerowych zachodnich służb wojskowych. Do ataku doszło w pierwszych miesiącach 2025 roku. Według badaczy z firmy Symantec, którzy jako pierwsi nagłośnili incydent, operację przeprowadziła rosyjska grupa hakerska znana pod nazwą Gamaredon, działająca z ramienia państwa. Grupa, funkcjonująca również pod nazwą Shuckworm, wykorzystała nośnik z zainfekowanym plikiem skrótu, który automatycznie aktywował złośliwe oprogramowanie tuż po podłączeniu do komputera. Działanie rozpoczęło się od uruchomienia pliku o nazwie files.lnk. To wystarczyło, by skrypt ukryty na dysku zainicjował całą sekwencję działań. Dwa główne pliki, utworzone przez skrypt, odpowiadały za różne aspekty ataku. Pierwszy obsługiwał komunikację z serwerami kontrolowanymi przez hakerów, wykorzystując przy tym legalne usługi – co utrudniało wykrycie. Drugi miał za zadanie rozprzestrzenianie infekcji – zarówno na inne podłączone dyski, jak i w sieci lokalnej. Ważnym aspektem tego ataku było wykorzystanie dobrze znanych narzędzi systemowych – jak choćby certutil.exe – do wykonywania zadań charakterystycznych dla zaawansowanych ataków hakerskich. Dzięki temu cały proces był trudny do wykrycia przez standardowe systemy zabezpieczeń.
Szpiegostwo cyfrowe w nowej odsłonie
Gamaredon nie pierwszy raz wykorzystuje tego typu techniki. Tym razem jednak eksperci zauważyli wyraźne zmiany w podejściu grupy. Klasyczne skrypty VBS ustąpiły miejsca rozwiązaniom opartym o PowerShell – bardziej elastycznym i lepiej dopasowanym do ukrywania śladów działalności w systemie operacyjnym Windows. Również sam sposób dostarczania i uruchamiania złośliwego oprogramowania został mocno zaciemniony – tak, by analiza kodu była maksymalnie utrudniona. W infekowanych systemach pojawiły się zmodyfikowane klucze rejestru, które ukrywały obecność podejrzanych plików. Jednocześnie, malware wykorzystywał różne sposoby na zdobycie informacji – od zrzutów ekranu, przez dane o działających procesach, aż po listę zainstalowanego oprogramowania antywirusowego. Ważnym narzędziem używanym w tej operacji była najnowsza wersja oprogramowania GammaSteel, przechowywana bezpośrednio w rejestrze systemowym. Pozwalało to na ukrycie pliku przed klasycznymi systemami skanującymi. Gdy malware działał, kopiował dokumenty – między innymi pliki Word, PDF, Excel czy zwykłe notatki tekstowe – z popularnych folderów użytkownika. Dane były następnie haszowane i przesyłane do serwerów kontrolowanych przez grupę, a w razie niepowodzenia – za pomocą narzędzia cURL przez sieć Tor.
Nowy poziom zagrożenia dla Zachodu
Z pozoru może się wydawać, że opisywana technika jest dość prosta – w końcu nie opiera się na żadnych zerodayowych exploitach czy spektakularnych przełamaniach zabezpieczeń. Jednak to właśnie prostota i niezawodność czynią z niej wyjątkowo groźne narzędzie. Ataki wykorzystujące fizyczne nośniki danych mogą skutecznie omijać zabezpieczenia sieciowe, ponieważ rozpoczynają się lokalnie – od jednego nieuważnego podłączenia urządzenia. Gamaredon, choć nie należy do najbardziej zaawansowanych rosyjskich grup hakerskich, wykazuje się dużą determinacją i elastycznością. Według Symantec, ewolucja ich metod i technik – choć stopniowa – realnie zwiększa zagrożenie dla instytucji zachodnich, zwłaszcza tych operujących w newralgicznych regionach, jak Ukraina. Złośliwe oprogramowanie wykorzystujące legalne narzędzia systemowe i ukryte w plikach skrótów staje się coraz bardziej powszechne. Gamaredon zdaje się iść właśnie tą ścieżką, doskonaląc swoje mechanizmy i omijając coraz skuteczniejsze zabezpieczenia. Tym razem ich celem była misja wojskowa – ale równie dobrze kolejnym może być dowolna instytucja rządowa czy cywilna infrastruktura krytyczna. Niepokojące jest także to, że wiele z tych działań może pozostać niezauważonych przez długi czas. Jeśli infekcja zaczyna się od prostego pliku.lnk na dysku USB, a cały kod złośliwego oprogramowania istnieje wyłącznie w rejestrze – tradycyjne antywirusy mogą nie wykryć niczego niepokojącego. Tym bardziej, jeśli dane przesyłane są przy użyciu zwykłych narzędzi PowerShell i ukrywane w tunelach chronionych przez Cloudflare czy przesyłane przez Tor.
