Украинцев предупредили о новой опасности
Госспецсвязь предупредила украинцев о новых кибератаках на государственные органы, с целью получить информацию о Силах обороны.
Специалисты Правительственной команды реагирования на чрезвычайные события Украины (CERT-UA), действующей при Госспецсвязи, проанализировали тактики, техники и процедуры, используемые хакерами одной из самых активных и опасных российских хакерских группировок - UAC-0010 (Armageddon / Gamaredon). Эта группировка связана с бывшими "офицерами" из СБУ в Крыму, которые в 2014 году перешли на сторону ФСБ РФ.
Основная цель группировки заключается в кибершпионаже в отношении Сил безопасности и обороны Украины. Также известен по меньшей мере один случай деструктивной деятельности на объекте информационной инфраструктуры.
По данным CERT-UA, количество одновременно зараженных компьютеров, в основном используемых в информационно-коммуникационных системах государственных органов, может достигать нескольких тысяч.
Как проходят атаки?
- Как вектор первичной компрометации хакеры используют электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые рассылают через заранее скомпрометированные учетные записи. Самый распространенный способ - отправить жертве архив, содержащий HTM или HTA-файл, открытие которого инициирует цепь инфицирования.
- Для распространения вредоносных программ предусмотрена возможность поражения съемных носителей данных, легитимных файлов (в частности, ярлыков), а также модификации шаблонов Microsoft Office Word, которые обеспечивают инфицирование всех создаваемых документов через добавление соответствующего макроса.
- После начального поражения мошенники могут похищать файлы с расширениями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z , .mdb в течение 30-50 минут - в основном с применением вредоносных программ GAMMASTEEL.
- Компьютер, функционирующий в пораженном состоянии около недели, может насчитывать от 80 до 120 и более вредоносных (инфицированных) файлов, без учета тех файлов, которые будут созданы на съемных носителях информации, которые будут подключаться в течение этого периода к электронно-вычислительной машине (ЭВМ).
Кроме того, специалисты предостерегают украинских военных: если на компьютере отсутствует средство защиты класса EDR (не "антивирус") - следует немедленно обратиться в Центр кибербезопасности ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для установки соответствующего программного обеспечения.
В группе повышенного риска - ЭВМ, расположенные за пределами периметра защиты, в частности те, которые для доступа в интернет используют терминалы Starlink.
Отмечается, что отсутствие такой технологии защиты повышает вероятность кибератак как на отдельный компьютер, так и на всю информационно-коммуникационную систему подразделения.
В случае обнаружения факта поражения по приведенным CERT-UA индикаторам следует безотлагательно сообщать Центр кибербезопасности ІТС.
Напомним, киберполиция призывает украинцев присоединять к сопротивлению.
Ранее мы писали, что российские оккупанты яростно атакуют украинские СМИ, чтобы продвигать свою пропаганду.