Oprogramowanie szpiegowskie LOSTKEYS: ukryte narzędzie szpiegowskie atakujące Zachód
Nowe złośliwe oprogramowanie znane jako LOSTKEYS stało się narzędziem z wyboru w serii tajnych operacji cybernetycznych o podtekstach politycznych. Po raz pierwszy wykryte pod koniec 2023 r. i obserwowane w aktywnym użyciu do początku 2025 r., LOSTKEYS jest częścią strategicznej zmiany przez powiązaną z Rosją grupę hakerską COLDRIVER, znaną z kampanii cybernetycznego szpiegostwa wymierzonych w wysoko postawione osoby i instytucje zachodnie.
W przeciwieństwie do tradycyjnego złośliwego oprogramowania zaprojektowanego do masowych zakłóceń lub kradzieży finansowej, LOSTKEYS jest dostosowany do wysoce selektywnych ataków opartych na informacjach. Jego głównym celem jest cicha infiltracja systemów, eksfiltracja poufnych plików i odsyłanie kluczowych szczegółów systemowych — wszystko to przy jednoczesnym unikaniu wykrycia.
Table of Contents
Czym jest LOSTKEYS?
LOSTKEYS to specjalnie stworzony program malware, który potrafi wyodrębniać określone typy plików z wyznaczonych folderów na komputerze ofiary. Oprócz zbierania plików, przesyła również informacje o systemie i uruchamia procesy z powrotem do atakujących. To, co wyróżnia LOSTKEYS, to jego precyzja: atakuje tylko systemy uznane za wartościowe, co czyni go narzędziem wyraźnie zaprojektowanym do szpiegostwa, a nie do szeroko zakrojonego włamania.
Nazwa złośliwego oprogramowania może sugerować losowość, ale jego wdrożenie jest zupełnie inne. Obserwowano je w atakach na doradców rządowych, personel wojskowy, dziennikarzy, think tanki, organizacje pozarządowe i osoby mające powiązania z Ukrainą. Konkretny i ograniczony zakres tych celów wskazuje na ich wykorzystanie w zbieraniu informacji wywiadowczych, a nie w celu osiągnięcia przestępczego zysku.
Jak to działa?
Proces infekcji rozpoczyna się od zaawansowanej formy inżynierii społecznej znanej jako ClickFix . Ofiary są zwabiane na stronę internetową-przynętę za pomocą fałszywego wyzwania CAPTCHA. Wierząc, że weryfikują swoją tożsamość, użytkownicy są proszeni o skopiowanie polecenia programu PowerShell i uruchomienie go za pomocą okna dialogowego Uruchom systemu Windows. To polecenie inicjuje łańcuch pobierania złośliwego oprogramowania.
Poniżej znajduje się wieloetapowy proces zaprojektowany w celu uniknięcia wykrycia. Pierwszy ładunek wykonuje kontrole środowiska, prawdopodobnie w celu wykrycia, czy jest uruchomiony na maszynie wirtualnej — powszechne w laboratoriach analizy złośliwego oprogramowania. Jeśli kontrole środowiska zakończą się pomyślnie, polecenie pobiera skrypt zakodowany w formacie Base64, który ostatecznie uruchamia złośliwe oprogramowanie LOSTKEYS. Po uruchomieniu cicho skanuje system hosta, szukając wstępnie zdefiniowanych typów plików i katalogów, i wysyła dane do zdalnego serwera.
Kto za tym stoi?
LOSTKEYS przypisano grupie zagrożeń COLDRIVER, która jest również śledzona pod nazwami takimi jak Callisto, Star Blizzard i UNC4057. Tradycyjnie ta grupa polegała na wyłudzaniu danych uwierzytelniających w celu uzyskania dostępu do kont e-mail i kradzieży poufnych komunikatów. Jednak LOSTKEYS i jego poprzednik, SPICA , sygnalizują nowy kierunek: bezpośrednie naruszenie urządzenia i ekstrakcja danych.
Eksperci ds. bezpieczeństwa zauważają, że COLDRIVER zazwyczaj działa z geopolitycznych pobudek. Jego cele i taktyka są ściśle powiązane z działaniami szpiegowskimi wspieranymi przez państwo, a jego poprzednie kampanie wykazały zainteresowanie zachodnimi sektorami polityki zagranicznej, obrony i mediów.
Konsekwencje LOSTKEYS
Pojawienie się LOSTKEYS odzwierciedla szerszy trend w cyberoperacjach: łączenie zwodniczej inżynierii społecznej z niestandardowo tworzonym złośliwym oprogramowaniem do ukierunkowanego nadzoru. Te taktyki są subtelne, skuteczne i trudne do wyśledzenia, często pozostawiając ofiary nieświadome, że zostały naruszone.
Implikacje są znaczące. Dla agencji rządowych i organizacji pracujących nad wrażliwymi kwestiami, zwłaszcza tych związanych z Europą Wschodnią, ryzyko cichych wycieków danych nigdy nie było wyższe. Ponieważ LOSTKEYS nie jest zaprojektowany do niszczenia lub zakłócania, ale do cichego zbierania danych, jego obecność może pozostać niezauważona przez długi czas.
Ponadto coraz częstsze stosowanie taktyk takich jak ClickFix pokazuje, jak atakujący się dostosowują. Zamiast próbować łamać zahartowane zabezpieczenia, wykorzystują ludzkie zachowanie — przekonując użytkowników do samodzielnego uruchamiania złośliwych poleceń. Takie podejście może ominąć wiele tradycyjnych kontroli bezpieczeństwa i zabezpieczeń antywirusowych.
Szerszy trend
LOSTKEYS nie działa w izolacji. Inni aktorzy zagrożeń wykorzystali metodę ClickFix do dostarczania różnych odmian złośliwego oprogramowania, w tym trojanów bankowych i złodziei danych specyficznych dla komputerów Mac. Techniki takie jak EtherHiding , które ukrywają złośliwy kod w transakcjach blockchain, są nakładane na te kampanie, co sprawia, że wykrywanie jest jeszcze trudniejsze.
Pewien badacz niedawno odkrył ogromną kampanię o nazwie MacReaper, w ramach której ponad 2800 legalnych stron internetowych zostało naruszonych, aby dostarczać fałszywe strony CAPTCHA. Te oszukańcze punkty wejścia obsługują różne rodziny złośliwego oprogramowania, w tym Atomic Stealer , atakujące systemy macOS.
Pozostań poinformowany i bezpieczny
Podczas gdy techniczne wyrafinowanie LOSTKEYS i jego mechanizmów dostarczania jest niepokojące, najlepszą obroną pozostaje czujność. Użytkownicy powinni zachować ostrożność, gdy zostaną poproszeni o uruchomienie nieznanych poleceń lub interakcję z nieoczekiwanymi formularzami internetowymi. Organizacje, zwłaszcza te zajmujące się wrażliwymi danymi lub polityką, powinny nadal inwestować w szkolenia, ochronę punktów końcowych i wywiad dotyczący zagrożeń.
LOSTKEYS przypomina, że współczesne zagrożenia często pojawiają się w subtelnych opakowaniach. To nie ci, którzy hałasują, ale cisi operatorzy mogą stanowić największe ryzyko dla bezpieczeństwa w erze cyfrowej.
