Держспецзв’язку попереджає про можливу хвилю кібератак держорганів

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попередила про можливі нові атаки на державні органи.

Про це повідомляє Держспецзв’язку.

Фахівці проаналізували актуальні тактики, техніки та процедури, що використовують хакери одного з найбільш активних та небезпечних російських хакерських угруповань – UAC-0010 (Armageddon / Gamaredon). До нього належать колишні "офіцери" із СБУ в АР Крим, які у 2014 році зрадили Батьківщину і почали прислужувати ФСБ РФ.

Основним завданням угруповання є кібершпигунство щодо сил безпеки та оборони України. Також відомо щонайменше про один випадок здійснення деструктивної діяльності на об’єкті інформаційної інфраструктури.

У CERT-UA додають, що кількість одночасно інфікованих комп’ютерів, які переважно функціонують в межах інформаційно-комунікаційних систем державних органів, може сягати кількох тисяч.

Як атакують хакери?

Як вектор первинної компрометації хакери здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. 

Найпоширенішим способом є надсилання жертві архіву, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.

Для розповсюдження шкідливих програм передбачена можливість ураження знімних носіїв інформації, легітимних файлів (ярликів), а також модифікації шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних на ЕОМ документів через додавання відповідного макросу.

Після початкового ураження зловмисники можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30-50 хвилин. Здебільшого це відбувається шляхом застосування шкідливих програм GAMMASTEEL.

Комп’ютер, що функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, що будуть створені на знімних носіях інформації, які будуть підключатися до системи протягом цього періоду.

Нагадуємо:

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA зафіксувала масові розсилки небезпечних електронних листів з темою "Рахунок-фактура".