Украинцев предупредили о новых кибератаках: как действуют хакеры

Сообщается, что специалисты Правительственной команды реагирования на чрезвычайные события Украины CERT-UA, которая действует при Госспецсвязи, проанализировали актуальные тактики, техники и процедуры, которые используют хакеры одной из наиболее активных и опасных российских хакерских группировок — UAC-0010 (Armageddon / Gamaredon). Отметим, что к нему принадлежат бывшие «офицеры» из СБУ в Крыму, которые в 2014 году изменили родине и начали работать на ФСБ РФ.

Так, основной задачей группировки является кибершпионаж в отношении Сил безопасности и обороны Украины. Также известно о по меньшей мере одном случае осуществления деструктивной деятельности на объекте информационной инфраструктуры.

По данным CERT-UA, количество одновременно инфицированных компьютеров, преимущественно функционирующих в рамках информационно-коммуникационных систем государственных органов, может достигать нескольких тысяч.

Как проходят атаки?

• Как вектор первичной компрометации хакеры используют электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые рассылают через заранее скомпрометированные учетные записи. Самый распространенный способ — отправить жертве архив, содержащий HTM или HTA-файл, открытие которого инициирует цепь инфицирования.
• Для распространения вредоносных программ предусмотрена возможность поражения съемных носителей данных, легитимных файлов (в частности, ярлыков), а также модификации шаблонов Microsoft Office Word, которые обеспечивают инфицирование всех создаваемых документов через добавление соответствующего макроса.
• После начального поражения мошенники могут похищать файлы с расширениями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z , .mdb в течение 30-50 минут — в основном с применением вредоносных программ GAMMASTEEL.
• Компьютер, функционирующий в пораженном состоянии около недели, может насчитывать от 80 до 120 и более вредоносных (инфицированных) файлов, без учета тех файлов, которые будут созданы на съемных носителях информации, которые будут подключаться в течение этого периода к электронно-вычислительной машине (ЭВМ).

Кроме того, специалисты предостерегают украинских военных: если на компьютере отсутствует средство защиты класса EDR (не «антивирус») — следует немедленно обратиться в Центр кибербезопасности ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для установки соответствующего программного обеспечения.

В группе повышенного риска — ЭВМ, расположенные за пределами периметра защиты, в частности те, которые для доступа в интернет используют терминалы Starlink.

Отмечается, что отсутствие такой технологии защиты повышает вероятность кибератак как на отдельный компьютер, так и на всю информационно-коммуникационную систему подразделения.

В случае обнаружения факта поражения по приведенным CERT-UA индикаторам следует безотлагательно сообщать Центр кибербезопасности ІТС.

Кибератаки на Украине

С начала полномасштабного вторжения России значительно выросло количество кибератак на украинцев. Чаще всего их осуществляли именно россияне.

Например, в апреле СМИ сообщили, что российские хакеры получили доступ к частным камерам наблюдения в украинских кафе, чтобы собирать разведывательную информацию о проезжающих мимо конвоях с гуманитарной помощью.

Также стало известно, что в течение 2022-2023 годов хакеры шпионили за компьютерами редакторов украинских СМИ и государственных организаций.