Українців попередили про нові кібератаки: як діють хакери

Повідомляється, що фахівці Урядової команди реагування на надзвичайні події України CERT-UA, що діє при Держспецзв’язку, проаналізували актуальні тактики, техніки та процедури, які використовують хакери одного з найактивніших та найнебезпечніших російських хакерських угруповань – UAC-0010 (Armageddon/Gamaredon). Зазначимо, що до нього належать колишні "офіцери" із СБУ в Криму, які у 2014 році змінили батьківщину та почали працювати на ФСБ РФ.

Так, основним завданням угруповання є кібершпигунство щодо Сил безпеки та оборони України. Також відомо про щонайменше один випадок здійснення деструктивної діяльності на об’єкті інформаційної інфраструктури.

За даними CERT-UA, кількість одночасно інфікованих комп’ютерів, які переважно функціонують у рамках інформаційно-комунікаційних систем державних органів, може досягати кількох тисяч.

Як відбуваються атаки?

• Як вектор первинної компрометації хакери використовують електронні листи та повідомлення у месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб – відправити жертві архів, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.
• Для поширення шкідливих програм передбачена можливість ураження знімних носіїв даних, легітимних файлів (зокрема, ярликів), а також модифікації шаблонів Microsoft Office Word, які забезпечують інфікування всіх документів, що створюються, через додавання відповідного макросу.
• Після початкової поразки шахраї можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z , .mdb протягом 30-50 хвилин - переважно із застосуванням шкідливих програм GAMMASTEEL.
• Комп’ютер, що функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування файлів, які будуть створені на знімних носіях інформації, які підключатимуться протягом цього періоду до електронно-обчислювальної машини (ЕОМ) ).

Крім того, фахівці застерігають українських військових: якщо на комп’ютері відсутній засіб захисту класу EDR (не "антивірус") - слід негайно звернутися до Центру кібербезпеки ІТС для встановлення відповідного програмного забезпечення.

У групі підвищеного ризику – ЕОМ, розташовані за межами периметра захисту, зокрема ті, які для доступу до Інтернету використовують термінали Starlink.

Зазначається, що відсутність такої технології захисту підвищує можливість кібератак як на окремий комп’ютер, так і на всю інформаційно-комунікаційну систему підрозділу.

У разі виявлення факту ураження за наведеними CERT-UA індикаторами слід невідкладно повідомляти Центр кібербезпеки ІТС.

Кібератаки в Україні

З початку повномасштабного вторгнення Росії значно зросла кількість кібератак на українців. Найчастіше їх здійснювали саме росіяни.