По меньшей мере, три раза был замечен вредоносный код, занимающийся кражей контактов и файлов у политических деятелей и активистов. Злоумышленники из России применяют поддельную "капчу" и симулируют работу программы для OSINT-анализа.
Предупреждение Google о хакерах РФ появилось в блоге Группы разведки угроз компании.
Киберспециалисты написали, что речь идет о вредоносном коде, созданном российской хакерской группировкой COLDRIVER, которая также скрывается за именами UNC4057, Star Blizzard и Callisto. Когда вирус заражает систему, то в самом легком случае он получает доступ к личным данным пользователя — к его контактам. Кроме того, были случаи, когда коды россиян получали доступ к файловой системе, объясняется в блоге. Случаи заражения обнаружили трижды в 2025 году: в январе, марте и апреле. Жертвами становились политики и чиновники стран-членов НАТО и Украины, сотрудники общественных организаций, бывшие работники разведки и дипломаты.
"Мы считаем, что основной целью операций COLDRIVER является сбор разведывательных данных в поддержку стратегических интересов России. В небольшом количестве случаев группу связывали с кампаниями по утечке информации, направленными против должностных лиц Великобритании и неправительственной организации", — говорится в блоге киберспециалистов.
Google предупредила, что цель COLDRIVER — получить доступ к контактам цели и к файлам на жестком диске.
Хакеры РФ — детали
В блоге Google подробно объясняется, как происходит заражение. Отмечается, что хакеры РФ при этом используют поддельные CAPTCHA, а куски вредоносного кода могут "делать вид", что они являются частями OSINT-программы для сбора данных Maltego.
Как происходит заражение вирусом LOSTKEYS:
человека перенаправляют на фальшивый сайт, на котором якобы размещено что-то полезное — файл, сервис, форма входа;на сайте нужно пройти процедуру подтверждения безопасности — и для этого следует нажать на CAPTCHA;в память системы загружается вредоносный код (то есть как будто имитируется команда Ctrl+C);рядом с "капчей" пользователь видит инструкцию, что нужно делать дальше — следует вызвать командную строку через Win+R, далее — комбинация Ctrl+V и нажать Enter;после этого запускается инструмент администрирования PowerShell, который выполняет вредоносный код, предостерегли специалисты Google.
Хакеры РФ — как происходит заражение вирусом LOSTKEYS
Фото: Google
Компания также объяснила, как защититься от вируса. Речь идет о людях, которые могут стать целями для российских хакеров. Для них предлагают три варианта защиты. Во-первых, зарегистрироваться в "Программе расширенной защиты". Во-вторых, включить улучшенный безопасный просмотр Google. В-третьих, обновить программы на устройствах.
Отметим, в сентябре 2024 года на портале Министерства юстиции США рассказали о российских хакерах, за "головы" которых обещают 10 млн долл. Министерство заявило, что речь идет о трех офицерах ГУР, которые устроили кибератаку на компьютеры правительства Украины за несколько дней до вторжения в 2022 году.