LOSTKEYS-skadevare: Et skjult spionasjeverktøy rettet mot Vesten
En ny skadevare kjent som LOSTKEYS har dukket opp som et foretrukket verktøy i en rekke skjulte cyberoperasjoner med politiske undertoner. LOSTKEYS ble først oppdaget sent i 2023 og sett i aktiv bruk frem til tidlig i 2025, og er en del av et strategisk skifte fra den Russland-tilknyttede hackergruppen COLDRIVER, som er kjent for sine cyberspionasjekampanjer rettet mot høyprofilerte vestlige individer og institusjoner.
I motsetning til tradisjonell skadelig programvare designet for masseforstyrrelser eller økonomisk tyveri, er LOSTKEYS skreddersydd for svært selektive, informasjonsdrevne angrep. Hovedformålet er å stille infiltrere systemer, tømme sensitive filer og sende tilbake viktige systemdetaljer – alt samtidig som man unngår oppdagelse.
Table of Contents
Hva er LOSTKEYS?
LOSTKEYS er et spesialbygd skadeprogram som er i stand til å trekke ut bestemte filtyper fra angitte mapper på offerets datamaskin. I tillegg til å samle inn filer, overfører det også systeminformasjon og kjørende prosesser tilbake til angriperne. Det som skiller LOSTKEYS fra andre er presisjonen: det retter seg kun mot systemer som anses som verdifulle, noe som gjør det til et verktøy som tydelig er designet for spionasje snarere enn omfattende kompromisser.
Navnet på den skadelige programvaren antyder kanskje tilfeldighet, men utplasseringen er alt annet enn det. Den har blitt observert i angrep rettet mot regjeringsrådgivere, militært personell, journalister, tenketanker, frivillige organisasjoner og enkeltpersoner med tilknytning til Ukraina. Det spesifikke og begrensede omfanget av disse målene peker mot at de brukes til etterretningsinnsamling snarere enn kriminell profitt.
Hvordan fungerer det?
Infeksjonsprosessen starter med en avansert form for sosial manipulering kjent som ClickFix . Ofrene lokkes til et lokkenettsted med en forfalsket CAPTCHA-utfordring. Brukerne tror de bekrefter identiteten sin og blir bedt om å kopiere en PowerShell-kommando og kjøre den via Kjør-dialogboksen i Windows. Denne kommandoen starter nedlastingskjeden for skadelig programvare.
Det som følger er en flertrinnsprosess som er utformet for å unngå deteksjon. Den første nyttelasten utfører miljøkontroller, sannsynligvis for å oppdage om den kjører i en virtuell maskin – vanlig i laboratorier for analyse av skadelig programvare. Hvis miljøkontrollene består, henter kommandoen et Base64-kodet skript som til slutt kjører LOSTKEYS-skadevaren. Når den kjører, skanner den stille vertssystemet, ser etter forhåndsdefinerte filtyper og mapper, og sender dataene til en ekstern server.
Hvem står bak det?
LOSTKEYS har blitt tilskrevet trusselgruppen COLDRIVER, som også spores under navn som Callisto, Star Blizzard og UNC4057. Tradisjonelt har denne gruppen vært avhengig av phishing av påloggingsinformasjon for å få tilgang til e-postkontoer og stjele sensitiv kommunikasjon. LOSTKEYS og forgjengeren, SPICA , signaliserer imidlertid en ny retning: direkte enhetskompromittering og datautvinning.
Sikkerhetseksperter bemerker at COLDRIVER vanligvis opererer med geopolitiske motiver. Målene og taktikkene deres er tett knyttet til statsstøttet spionasje, og tidligere kampanjer har vist interesse for vestlig utenrikspolitikk, forsvar og mediesektorer.
Implikasjoner av LOSTKEYS
Utviklingen av LOSTKEYS gjenspeiler en større trend innen cyberoperasjoner: blandingen av villedende sosial manipulering med spesialbygd skadevare for målrettet overvåking. Disse taktikkene er subtile, effektive og vanskelige å spore, og ofte gjør de ofrene uvitende om at de har blitt kompromittert.
Implikasjonene er betydelige. For offentlige etater og organisasjoner som jobber med sensitive saker, spesielt de som er knyttet til Øst-Europa, har risikoen for stille datalekkasjer aldri vært høyere. Fordi LOSTKEYS ikke er designet for å ødelegge eller forstyrre, men for å samle inn data i stillhet, kan dens tilstedeværelse gå uoppdaget hen i lange perioder.
Dessuten viser den økende bruken av taktikker som ClickFix hvordan angripere tilpasser seg. I stedet for å prøve å bryte gjennom herdede forsvar, utnytter de menneskelig atferd – og overtaler brukere til å kjøre ondsinnede kommandoer selv. Denne tilnærmingen kan omgå mange tradisjonelle sikkerhetskontroller og antivirusbeskyttelser.
En bredere trend
LOSTKEYS opererer ikke isolert. Andre trusselaktører har ombrukt ClickFix-metoden til å levere forskjellige skadevarestammer, inkludert banktrojanere og Mac-spesifikke datatyveri. Teknikker som EtherHiding , som skjuler ondsinnet kode i blokkjedetransaksjoner, legges til i disse kampanjene, noe som gjør deteksjonen enda mer utfordrende.
En forsker avdekket nylig en massiv kampanje kalt MacReaper, der over 2800 legitime nettsteder ble kompromittert for å levere falske CAPTCHA-sider. Disse villedende inngangspunktene betjener en rekke skadevarefamilier, inkludert Atomic Stealer , som retter seg mot macOS-systemer.
Hold deg informert og trygg
Selv om den tekniske sofistikasjonen til LOSTKEYS og leveringsmekanismene er bekymringsverdig, er det beste forsvaret fortsatt årvåkenhet. Brukere bør være forsiktige når de blir bedt om å kjøre ukjente kommandoer eller samhandle med uventede nettskjemaer. Organisasjoner, spesielt de som håndterer sensitive data eller retningslinjer, bør fortsette å investere i opplæring, endepunktbeskyttelse og trusselinformasjon.
LOSTKEYS er en påminnelse om at moderne trusler ofte kommer i subtile pakker. Det er ikke de som lager støy, men de stille operatørene som kan utgjøre den største risikoen for sikkerheten i den digitale tidsalderen.
