Українців попередили про нові кібератаки: як діють хакери

Повідомляється, що спеціалісти Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, проаналізували актуальні тактики, техніки та процедури, які використовують хакери одного з найбільш активних та небезпечних російських хакерських угруповань - UAC-0010 (Armageddon / Gamaredon). Зазначимо, що до нього належать колишні "офіцери" із СБУ в Криму, які у 2014 році зрадили батьківщину та почали працювати на ФСБ РФ.

Так, основним завданням угруповання є кібершпигунство щодо Сил безпеки та оборони України. Також відомо про щонайменше один випадок здійснення деструктивної діяльності на об’єкті інформаційної інфраструктури.

За даними CERT-UA, кількість одночасно інфікованих комп’ютерів, які переважно функціонують в межах інформаційно-комунікаційних систем державних органів, може сягати кількох тисяч.

Як проходять атаки?

• Як вектор первинної компрометації хакери здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб - надіслати жертві архів, який містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.
• Для поширення шкідливих програм передбачена можливість ураження знімних носіїв даних, легітимних файлів (зокрема, ярликів), а також модифікації шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних документів через додавання відповідного макросу.
• Після початкового ураження шахраї можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30-50 хвилин - здебільшого із застосуванням шкідливих програм GAMMASTEEL.
• Комп'ютер, який функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, які будуть створені на знімних носіях інформації, які будуть підключатися протягом цього періоду до електронно-обчислювальної машини (ЕОМ),

Окрім того, спеціалісти застерігають українських військових: якщо на комп’ютері відсутній засіб захисту класу EDR (не "антивірус") - слід негайно звернутися до Центру кібербезпеки ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для встановлення відповідного програмного забезпечення.

У групі підвищеного ризику - ЕОМ, що розміщені за межами периметру захисту, зокрема ті, які для доступу до інтернету використовують термінали Starlink.

Зазначається, що відсутність такої технології захисту підвищує вірогідність кібератак як на окремий комп'ютер, так і на всю інформаційно-комунікаційну систему підрозділу.

У разі виявлення факту ураження за наведеними CERT-UA індикаторами слід невідкладно повідомляти Центр кібербезпеки ІТС.

Кібератаки на Україну

Від початку повномасштабного вторгнення Росії значно зросла кількість кібератак на українців. Найчастіше їх здійснювали саме росіяни.

Наприклад, у квітні ЗМІ повідомили, що російські хакери отримали доступ до приватних камер спостереження в українських кав'ярнях, щоб збирати розвідувальну інформацію про конвої з гуманітарною допомогою, які проїжджають повз них.

Також стало відомо, що протягом 2022–2023 років хакери шпигували за комп'ютерами редакторів українських ЗМІ та державних організацій.

Термінові та важливі повідомлення про війну Росії проти України читайте на каналі РБК-Україна в Telegram.