Nuo mokymosi platformos iki Cobalt Strike: kaip Ghostwriter medžioja Ukrainos valdininkus

Prometheus. Ne tas, kuris graikų mitologijoje pavogė ugnį iš dievų, o ukrainiečių internetinė mokymosi platforma, kuria naudojasi tūkstančiai valstybės tarnautojų. Pavadinimo ironijos niekas nesugalvojo — ją sukūrė „Ghostwriter", Baltarusijai pavaldi kibernetinė grupuotė, kuri jau nuo 2026 metų pavasario medžioja Ukrainos vyriausybininkus per būtent šią, atrodytų, nekaltą programėlę.

Kibernetinė ataka, prasidedanti nuo el. laiško, kuriuo pasitikima

Gegužės 22 dieną Ukrainos kompiuterinių incidentų reagavimo komanda CERT-UA paskelbė pranešimą apie plataus masto sukčiavimo kampaniją. Schema veikia taip: valstybės tarnautojas gauna el. laišką iš, atrodytų, patikimo pašto adreso — iš tiesų, tai kompromituota paskyra. Laiške prisegtas PDF dokumentas su nuoroda. Spustelėjus nuorodą, atsisiunčiamas ZIP archyvas, o jame — JavaScript failas, CERT-UA pavadintas OYSTERFRESH.

„Paprastai laiške yra PDF priedas su nuoroda, kurią spustelėjus atsisiunčiamas ZIP archyvas su JavaScript failu", — rašo CERT-UA savo pranešime. Tai, kas vyksta toliau, yra klasikinis kelių etapų kenkėjiškos programinės įrangos išskleidimas, sukurtas taip, kad būtų kuo sunkiau pastebimas.

Trys OYSTER sluoksniai ir nematomas Cobalt Strike

Paleistas OYSTERFRESH pirmiausia parodo aukai nekalto dokumento kopiją — atitraukimo manevras, skirtas nuslopinti bet kokį įtarimą. Tuo pat metu, tyliai fone, jis įrašo užšifruotą kenkėjišką kodą, vadinamą OYSTERBLUES, į Windows registrą. Tada atsisiunčia ir paleidžia trečią komponentą — OYSTERSHUCK — kuris iššifruoja OYSTERBLUES ir paleidžia jį.

Ką veikia OYSTERBLUES? Iš pradžių atrodo kukliai: surenka kompiuterio pavadinimą, vartotojo paskyrą, operacinės sistemos versiją, paskutinio paleidimo laiką ir veikiančių procesų sąrašą. Ši informacija išsiunčiama į užpuolikų valdymo serverį HTTP POST užklausa.

Bet tai tik žvalgyba. Gavęs atsakymą iš serverio, OYSTERBLUES vykdo jame esantį JavaScript kodą per `eval()` funkciją — tai reiškia, kad užpuolikai gali dinamiškai keisti, ką tiksliai kenkėjiška programa daro, be jokio papildomo atsisiuntimo.

Galutinis tikslas? CERT-UA vertinimu, tai Cobalt Strike — įrankis, kurį saugumo specialistai naudoja pažeidžiamumų testavimui, bet kurį jau dešimtmetį masiškai naudoja ir kibernetiniai nusikaltėliai. Cobalt Strike suteikia užpuolikams pilną prieigą prie kompiuterio: gali vykdyti komandas, peržiūrėti failus, įrašyti klavišų paspaudimus, judėti tinklu į kitus kompiuterius.

Rusija, dirbtinis intelektas ir karas be fronto linijos

Ghostwriter ataka yra tik maža dalis daug didesnio paveikslo. Tą pačią dieną, kai CERT-UA paskelbė apie Prometheus sukčiavimo kampaniją, Ukrainos nacionalinio saugumo ir gynybos taryba atskleidė, kad Rusija naudoja dirbtinio intelekto įrankius — „ChatGPT", „Google Gemini" — taikinių žvalgybai ir netgi įterpia DI į kenkėjiškas programas, kad šios galėtų generuoti komandas veikimo metu.

Tarybos duomenimis, 2025 metais pagrindiniai pradinio įsilaužimo vektoriai buvo socialinė inžinerija, pažeidžiamumų išnaudojimas, kompromituoti RDP ir VPN prisijungimai, tiekimo grandinės atakos ir nelicencijuotos programinės įrangos su integruotais užpakaliniais įėjimais naudojimas. „Užpuolikai fokusavosi į jautrios informacijos vagystę, komunikacijų perėmimą ir taikinių buvimo vietos sekimą", — teigiama tarybos pranešime.

Šiame kontekste Ghostwriter ataka prieš Prometheus yra simptominė — valstybės remiama grupuotė naudoja mokymosi platformą, kad patektų į vyriausybinius tinklus. Ne bombą, ne raketą — ZIP failą su JavaScript kodu.

Kibernetinis karas persikelia į socialinius tinklus

Tuo pat metu, kai Ghostwriter taikėsi į vyriausybinius serverius, kita su Kremliumi siejama kampanija užgrobė realias Bluesky vartotojų paskyras — tarp jų žurnalistų ir universiteto profesorių. Už šios operacijos, tyrėjų duomenimis, stovi Maskvoje įsikūrusi „Social Design Agency", kurią sieja su kampanija „Matryoshka", vykdoma nuo 2024 metų.

Užgrobtos paskyros naudojamos skelbti suklastotą turinį, kurį kur kas sunkiau atpažinti kaip propagandą — juk žinutę siunčia tikras žmogus, su tikra sekėjų auditorija, tikrąja tapatybe. Tai ne botų ferma, o pavogtų tapatybių armija.

Šios dvi operacijos — Ghostwriter ir Bluesky paskyrų grobimas — rodo naują hibridinio karo etapą. Viena ranka vagiami kredencialai iš vyriausybinių serverių, kita — formuojama viešoji nuomonė per pavogtas socialinių tinklų paskyras. Skiriasi tik adresatas: vienur IT administratorius, kitur — paprastas skaitytojas.

Ką daryti? CERT-UA rekomenduoja paprastą žingsnį

Ukrainos reagavimo komanda rekomenduoja vieną konkretų, bet efektyvų apsaugos veiksmą: apriboti galimybę paleisti `wscript.exe` standartinėms vartotojų paskyroms. Windows Script Host jau seniai yra mėgstamas atakos vektorius — ir ši ataka nėra išimtis. Serveriuose, kur `wscript.exe` nereikalingas kasdieniam darbui, jis turėtų būti išjungtas.

Tačiau platesnis klausimas išlieka: kol vyksta karas, kibernetinė erdvė išliks mūšio lauku, kuriame tokios platformos kaip Prometheus — skirtos mokytis, o ne kariauti — tampa ginklais. Tai jau ne atskiri incidentai, o sisteminė kampanija, besitęsianti mėnesių mėnesius ir naudojanti vis sudėtingesnes technikas.