Рада національної безпеки і оборони України (РНБО) пов’язує підтримуваних Росією хакерів зі спробами атакувати державні органи після компрометації урядової системи документообігу.
Система електронної взаємодії органів виконавчої влади (СЕВ ОВВ), зламана в результаті цієї атаки, використовується більшістю органів державної влади для обміну документами, пише Bleeping Computer.
“Національний координаційний центр кібербезпеки при РНБО України попереджає про кібератаку на систему документообігу в державних органах, – йдеться повідомленні. – Способи та засоби здійснення цієї кібератаки дозволяють пов’язати її з однією з хакерських шпигунських груп з Російської Федерації”.
The @ncsccUA warns of a cyberattack on the document management system of state bodies. The attack belongs to the so-called supply chain attacks. Methods and means of carrying out this cyberattack allow to connect it with one of Russia's hacker spy groups.https://t.co/ICgYxuuflH
— NSDC of Ukraine (@NSDC_ua) February 24, 2021
Пов’язані з Росією хакери намагалися використовувати систему спільного використання документів “для розповсюдження шкідливих документів” з кінцевою метою зараження систем, що належать українським органам державної влади.
Шкідливі документи, завантажені в систему СЕВ ОВВ зловмисниками, містили макроси, призначені для прихованого завантаження та розгортання шкідливого програмного забезпечення на комп’ютери жертв.
Після зараження систем шкідливе програмне забезпечення дозволило б хакерам дистанційно керувати інфікованими пристроями.
“Відповідно до сценарію, атака належить до так званих атак ланцюга поставок (supply chain attack), – додають у НКЦК при РНБО, – Це атака, при якій зловмисники намагаються отримати доступ до цільової організації не безпосередньо, а через вразливості в інструментах та послугах, які вона використовує”.
Основні індикатори атаки
Домени: enterox.ru
ІР-адреси: 109.68.212.97
Посилання (URL): http://109.68.212.97/infant.php
Для запобігання повторення сценарію НКЦК наголошує на необхідності:
- регулярно встановлювати оновлення безпеки для операційної системи та програм на робочих місцях, підключених до системи СЕВ ОВВ;
- застосувати жорсткі політики цілісності коду, які дозволяють працювати лише авторизованим програмам;
- використовувати антивірусне програмне забезпечення або інші рішення для захисту робочих місць та здійснювати моніторинг подій безпеки у них;
- замінити паролі доступу до системи електронного документообігу на більш стійкі;
- здійснювати моніторинг спроб підбору паролів до онлайн(веб)-систем електронного документообігу;
- відключити виконання макросів у документах Microsoft Office на робочих місцях, підключених до системи СЕВ ОВВ.
- У разі виявлення індикаторів атаки просимо повідомляти Національний координаційний центр кібербезпеки ([email protected]).
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ
Що таке спуфінг і як запобігти атаці? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ
Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ
Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.
Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.
