Как сообщают специалисты антивирусной компании ESET, атаки на спецслужбы и правительство Украины осуществлялись с использованием уникальной шпионской программы Win32/Potao. Они относятся к тому же классу сложности, что и нападения с применением вирусов BlackEnergy и Stuxnet, замешанных в международных скандалах.
Вирус Pоtao применялся в масштабных кибератаках с конкретными целями. Об этом говорит тот факт, что вредоносное ПО доставлялось "жертве" с личным обращением. Аналогичный сценарий использовался в марте 2015 года, когда атакующие зарегистрировали домен WorldAirPost.com с дизайном сайта Singapore Post.
Как отмечают эксперты, за последние два года наблюдается значительный рост атак с помощью этой программы. Первые образцы Potao датируются 2011 годом, но в поле зрения специалистов вирус попал в связи с ростом числа заражений в 2014-2015 годах, после появления в нем механизма инфицирования съемных USB-носителей.
По оценке экспертов, атакующие приступили к подготовке таргетированных атак на украинских пользователей осенью 2013 года. В марте 2015-го эксперты обнаружили образцы Potao на ряде стратегических объектов, включая правительство, военные ведомства и одно из крупнейших информационных агентств. Атаки осуществляются посредством фишинговых сообщений электронной почты с вредоносными вложениями – исполняемыми файлами под видом документов Microsoft Word с привлекающими внимание названиями.
Хакеры достигли цели, полностью "убив" защиту украинских спецслужб и даже не удосужившись замести следы. Кибергруппа, стоящая за распространением Potao, по-прежнему активна. На это указывает образец вредоносного ПО от 20 июля 2015 года, направленный потенциальной жертве в Грузии: в качестве документа-приманки используется pdf-файл.