Детали
Специалисты Правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA, которая действует при Госспецсвязи, проанализировали актуальные тактики и техники, которые используют хакеры одной из наиболее активных и опасных российских хакерских группировок – UAC-0010. Их основной задачей является кибершпионаж в отношении сил безопасности и обороны Украины. По данным CERT-UA, количество одновременно инфицированных компьютеров, которые преимущественно функционируют в пределах государственных органов, может достигать нескольких тысяч.
В основном хакеры атакуют используя электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые рассылают через заранее скомпрометированные учетные записи. Самый распространенный способ – отправка архива, содержащего HTM или HTA-файл, открытие которого инициирует цепь инфицирования.
Для распространения вредоносных программ предусмотрена возможность поражения носителей информации, файлов (в частности, ярлыков), а также модификации шаблонов Microsoft Office Word, что обеспечивает инфицирование всех создаваемых на ЭВМ документов. После начального поражения злоумышленники могут похищать файлы с расширениями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb в течение 30-50 минут – в основном с применением вредоносных программ GAMMASTEEL.
Компьютер, функционирующий в пораженном состоянии около недели, может насчитывать от 80 до 120 и более вредоносных (инфицированных) файлов, без учета тех файлов, которые будут созданы на съемных носителях информации, которые будут подключаться в течение этого периода к ЭВМ.
Также специалисты предостерегают военнослужащих ВСУ: если на компьютере отсутствует средство защиты класса EDR (не «антивирус») – немедленно обратитесь в Центр кибербезопасности ИТС (в/ч А0334; email: csoc@post.mil.gov.ua) для установки соответствующего программного обеспечения.
В группе повышенного риска – ЭВМ, размещенные за пределами периметра защиты, в частности те, которые для доступа к интернету используют терминалы Stralink. Отсутствие упомянутой технологии защиты повышает вероятность кибератак как на отдельный компьютер, так и на всю информационно-коммуникационную систему (сеть) подразделения.
«В случае поражения по приведенным CERT-UA индикаторам – безотлагательно сообщайте в Центр кибербезопасности ИТС», - отмечают в ведомстве.
Добавим
Другие детали о кибератаках российских хакеров и рекомендации по защите есть на сайте CERT-UA.
К хакерской группировке Armageddon/Gamaredon принадлежат бывшие «офицеры» из СБУ в АР Крым, которые в 2014 году предали Родину и начали прислуживать фсб россии.
ЧИТАЙТЕ ТАКЖЕ: Подозреваемые в сотрудничестве с российской разведкой хакеры пытались взломать данные десятка дипломатов в Украине – СМИ