Деталі
Фахівці Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, проаналізували актуальні тактики і техніки, що використовують хакери одного з найбільш активних та небезпечних російських хакерських угрупувань – UAC-0010. Їхнім основним завданням є кібершпигунство щодо сил безпеки та оборони України. За даними CERT-UA, кількість одночасно інфікованих комп’ютерів, які переважно функціонують в межах державних органів, може сягати кількох тисяч.
Здебільшого хакери атакують використовуючи електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб – надсилання архіву, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.
Для розповсюдження шкідливих програм передбачена можливість ураження носіїв інформації, файлів (зокрема, ярликів), а також модифікації шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних на ЕОМ документів. Після початкового ураження зловмисники можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30-50 хвилин – здебільшого із застосуванням шкідливих програм GAMMASTEEL.
Комп’ютер, що функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, що будуть створені на знімних носіях інформації, які будуть підключатися протягом цього періоду до ЕОМ.
Також фахівці застерігають військовослужбовців ЗСУ: якщо на комп’ютері відсутній засіб захисту класу EDR (не «антивірус») – негайно зверніться до Центру кібербезпеки ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для встановлення відповідного програмного забезпечення.
У групі підвищеного ризику – ЕОМ, розміщені за межами периметру захисту, зокрема ті, які для доступу до інтернету використовують термінали Stralink. Відсутність згаданої технології захисту підвищує вірогідність кібератак як на окремий комп’ютер, так і на всю інформаційно-комунікаційну систему (мережу) підрозділу.
«У разі ураження за наведеними CERT-UA індикаторами – невідкладно повідомляйте Центр кібербезпеки ІТС», - наголошують у відомстві.
Додамо
Інші деталі щодо кібератак російських хакерів та рекомендації щодо захисту є на сайті CERT-UA.
До хакерського угрупування Armageddon/Gamaredon належать колишні «офіцери» із СБУ в АР Крим, які у 2014 році зрадили Батьківщину і почали прислужувати фсб росії.
ЧИТАЙТЕ ТАКОЖ: Підозрювані у співпраці з російською розвідкою хакери намагались зламати дані десятки дипломатів в Україні – ЗМІ