Загрузка копии Windows из сомнительных онлайн-источников никогда не была хорошей идеей, но в последнее время в Украине это было еще более опасно. Фирма по кибербезопасности Mandiant обнаружила троянскую версию Windows 10, распространяемую в Интернете, и как сообщается, она была модифицирована специально для получения доступа к украинским компьютерным системам. Хотя на вредоносном ISO-образе нет четких свидетельств о причастности России, Mandiant отмечает, что такие цели пересекаются с предыдущими операциями российских служб безопасности.

Установщик Windows представляет собой 64-разрядную сборку Windows 10 с пометкой «Win10_21H2_Ukrainian_x64.iso». Он использует украинский языковой пакет и распространялся в основном на торрент-трекере toloka.to, ориентированном на украинских пользователей. Затем он также появился на российском торрент-трекере. Вполне вероятно, что эта вредоносная версия Windows связана с продолжающейся военной операцией на Украине.

По словам Mandiant, у вредоносного ПО, похоже, нет никаких финансовых мотивов — не видно ни установщиков программ-вымогателей, ни крипто-майнеров. Хотя, как отмечается, распространение ISO-файла Windows - не самый эффективный способ попадания этих вредоносных пакетов на компьютеры. Однако такой способ распространения трояна эффективен, если вы хотите получить полный доступ к системе с возможностью установки дополнительных пакетов вредоносных программ при обнаружении опасной цели. То, как были "зашиты" эти вредоносные инструменты, заставило Mandiant заподозрить российское разведывательное агентство ГРУ и поддерживаемые правительством хакерские группы, такие как APT28.

Установив вредоносный ISO, пользователь получит то, что выглядит как полнофункциональная версия Windows 10, но базовый код был изменен несколькими важными способами. Во-первых, он не отправляет телеметрию безопасности обратно в Microsoft, как это делает обычная сборка Windows. После установки встроенные инструменты сканируют систему на наличие полезной информации с помощью запланированных и измененных системных задач. Затем эти данные отправляются на удаленный сервер. Некоторые программы также были бы заражены дополнительными вредоносными инструментами во время установки, что в итоге позволяет предположить, что эти цели представляли особый интерес для хакеров.

Компания Mandiant обнаружила несколько машин с зараженной версией Windows в украинских правительственных сетях. Машины начали сливать информацию хакерам через зашифрованный туннель TOR в июле 2022 года. Это новый вид атаки, который начал применяться по мере затягивания конфликта в Украине. В отличие от многих вредоносных атак, этой легко избежать. Mandiant призывает не качать пиратские версии Windows с торрентов. В наши дни Microsoft позволила украинцам загружать ISO-образы Windows прямо из официального источника.