Госспецсвязи предупреждает о волне кибератак на госорганы

Правительственная команда реагирования на чрезвычайные события Украины CERT-UA, действующая при Госспецсвязи, предупредила о возможных новых атаках на государственные органы. Об этом сообщает Госспецсвязи.

Специалисты проанализировали актуальные тактики, техники и процедуры, которые используют хакеры одной из наиболее активных и опасных российских групп хакеров — UAC-0010 (Armageddon / Gamaredon). В него входят бывшие “офицеры” из СБУ в АР Крым, которые в 2014 году изменили Родине и начали прислуживать ФСБ РФ.

Основной задачей группировки является кибершпионаж по силам безопасности и обороны Украины. Также известно, по меньшей мере, об одном случае осуществления деструктивной деятельности на объекте информационной инфраструктуры.

В CERT-UA добавляют, что количество одновременно инфицированных компьютеров, преимущественно функционирующих в рамках информационно-коммуникационных систем государственных органов, может достигать нескольких тысяч.

Как вектор первичной компрометации хакеры используют электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые рассылают через заранее скомпрометированные учетные записи.

Наиболее распространенным способом является отправка жертве архива, содержащего HTM или HTA-файл, открытие которого инициирует цепь инфицирования.

Для распространения вредоносных программ предусмотрена возможность поражения съемных носителей информации, легитимных файлов (ярлыков), а также модификации шаблонов Microsoft Office Word, обеспечивающих инфицирование всех создаваемых на ЭВМ документов через добавление соответствующего макроса.

После начального поражения злоумышленники могут похищать файлы с расширениями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z .mdb в течение 30-50 минут. В основном это происходит путем применения вредоносных программ GAMMASTEEL.

Компьютер, функционирующий в пораженном состоянии около недели, может насчитывать от 80 до 120 и более вредоносных (инфицированных) файлов, без учета файлов, которые будут созданы на съемных носителях информации, которые будут подключаться к системе в течение этого периода.