Шкідливе програмне забезпечення для знищення даних під назвою AcidPour, можливо, використовувалося для атак на чотирьох телекомунікаційних провайдерів в Україні, свідчать нові дані компанії SentinelOne.

Фірма з кібербезпеки також підтвердила зв’язок між шкідливим програмним забезпеченням і AcidRain, пов’язавши його з кластерами загрозливої активності, пов’язаними з російською військовою розвідкою.

“Розширені можливості AcidPour дозволять йому краще виводити з ладу вбудовані пристрої, в тому числі мережеві, IoT, великі сховища (RAID) і, можливо, пристрої ICS під управлінням дистрибутивів Linux x86”, – зазначають дослідники безпеки Хуан Андрес Герреро-Сааде і Том Хегель.

AcidPour – це різновид AcidRain, який використовувався для виведення з ладу модемів Viasat KA-SAT на початку російсько-української війни в 2022 році та виведення з ладу військового зв’язку України.

Він також спирається на можливості останнього, але націлений на системи Linux, що працюють на архітектурі x86. AcidRain, з іншого боку, скомпільований для архітектури MIPS.

Якщо AcidRain був більш універсальним, то AcidPour включає логіку для вбудованих пристроїв, мереж зберігання даних (SAN), пристроїв мережевого зберігання даних (NAS) і виділених RAID-масивів.

Тим не менш, обидва напрямки перетинаються, коли мова йде про використання викликів перезавантаження і методу, що використовується для рекурсивного очищення каталогів. Також ідентичним є механізм знищення пристроїв на основі IOCTL, який також має спільні риси з іншим шкідливим програмним забезпеченням, пов’язаним з Sandworm, відомим під назвою VPNFilter.

“Одним з найцікавіших аспектів AcidPour є його стиль кодування, що нагадує прагматичний CaddyWiper, який широко використовується проти українських цілей разом з такими відомими шкідливими програмами, як Industroyer 2″, – зазначають дослідники.

Шкідливе програмне забезпечення на мові C має функцію самознищення, яка перезаписує себе на диск на початку свого виконання, а також застосовує альтернативний підхід до стирання залежно від типу пристрою.

AcidPour приписують хакерській групі UAC-0165, яка асоціюється з Sandworm і має послужний список атак на об’єкти критичної інфраструктури України.

Команда реагування на комп’ютерні надзвичайні ситуації України (CERT-UA) у жовтні 2023 року встановила причетність зловмисників до атак на щонайменше 11 провайдерів телекомунікаційних послуг у країні в період з травня по вересень минулого року.

“[AcidPour] міг бути використаний у 2023 році, – сказав Гегель в інтерв’ю The Hacker News. “Цілком ймовірно, що зловмисники використовували інструментарій, пов’язаний з AcidRain/AcidPour, послідовно протягом всієї війни. Прогалина в цій перспективі свідчить про рівень розуміння громадськістю кібервторгнень – як правило, досить обмежений і неповний”.

Зв’язок із Sandworm ще більше підкріплюється тим фактом, що суб’єкт загрози, відомий як Солнцепек (він же Solntsepek або SolntsepekZ), заявив, що проник до чотирьох різних телекомунікаційних операторів в Україні і порушив роботу їхніх служб 13 березня 2024 року, за три дні до виявлення AcidPour.

За даними Державної служби спеціального зв’язку та захисту інформації України (ДССЗЗІ), “Солнцепек” є російською сучасною персистентною загрозою (APT), яка, ймовірно, пов’язана з головним управлінням генерального штабу збройних сил російської федерації (ГРУ), яке також оперує Sandworm.

Варто зазначити, що “Солнцепек” також звинувачували у зламі систем “Київстар” ще у травні 2023 року. Про злам стало відомо наприкінці грудня.

Хоча наразі незрозуміло, чи використовувався AcidPour під час останньої серії атак, це відкриття свідчить про те, що зловмисники постійно вдосконалюють свою тактику для проведення руйнівних атак і нанесення значних операційних збитків.

“Ця прогресія свідчить не лише про вдосконалення технічних можливостей зловмисників, але й про їхній виважений підхід до вибору цілей, які максимізують подальші ефекти, порушуючи критично важливу інфраструктуру та комунікації”, – зазначають дослідники.

Ця стаття Російські хакери могли атакувати українські телеком-компанії за допомогою оновленого вірусу AcidPour раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Україна опинилася під новим натиском програм-вимагачів, які віддзеркалюють попередні вторгнення, приписувані російському державному хакерському угрупованню Sandworm.

Словацька компанія з кібербезпеки ESET, яка назвала новий штам програм-вимагачів RansomBoggs , заявила, що атаки на кілька українських організацій вперше були виявлені 21 листопада 2022 року.

«Хоча зловмисне програмне забезпечення, написане в .NET, є новим, його розгортання схоже на попередні атаки, які приписують Sandworm», — заявила компанія в серії твітів у п’ятницю.

On November 21st #ESETResearch detected and alerted @_CERT_UA of a wave of ransomware we named #RansomBoggs, deployed in multiple organizations in Ukraine🇺🇦. While the malware written in .NET is new, its deployment is similar to previous attacks attributed to #Sandworm. 1/9 pic.twitter.com/WyxzCZSz84

— ESET research (@ESETresearch) November 25, 2022

Група Sandworm, яку Microsoft відслідковує як Iridium, була причетна до низки атак, спрямованих на транспортні та логістичні сектори в Україні та Польщі за допомогою іншого штаму програм-вимагачів під назвою Prestige у жовтні 2022 року.

Повідомляється, що діяльність RansomBoggs використовує сценарій PowerShell для розповсюдження програм-вимагачів, причому перший «майже ідентичний» тому, який використовувався в атаках зловмисного програмного забезпечення Industroyer2 , про які стало відомо в квітні.

За даними Групи реагування на надзвичайні ситуації в області комп’ютерних ситуацій України (CERT-UA), сценарій PowerShell під назвою POWERGAP використовувався для розгортання зловмисного програмного забезпечення CaddyWiper для очищення даних за допомогою завантажувача під назвою ArguePatch (він же AprilAxe).

Аналіз нової програми-вимагача ESET показує, що вона створює випадково згенерований ключ, шифрує файли за допомогою AES-256 у режимі CBC і додає розширення файлу «.chsch».

Sandworm, елітна ворожа хакерська група російського військового розвідувального управління ГРУ, має сумнозвісний досвід атаки на критичну інфраструктуру протягом багатьох років.

Зловмисника пов’язують із кібератаками NotPetya на лікарні та медичні установи у 2017 році та руйнівними атаками на українську електромережу у 2015 та 2016 роках.

Джерело: HackerNews

Ця стаття Російська програма-вимагач RansomBoggs націлилася на кілька українських організацій раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

За даними дослідників безпеки, кібернаступ на Україну продовжується зловмисними атаками та поширенням дезінформації та фейкових новин.

Згідно з дослідженням компанії Mandiant, російські, проросійські та білоруські кібератаки використовували найповніший набір методів для досягнення «тактичних і стратегічних цілей, безпосередньо пов’язаних із самим конфліктом».

Однак вплив відчувався ширше, оскільки хакери, які працюють на інші країни, включаючи Китай та Іран, намагаються просувати і свої плани.

«Хоча ці операції становили величезну загрозу для України, вони також загрожували США та іншим західним країнам», – кажуть дослідники Mandiant. «У результаті, ми очікуємо, що такі операції, включаючи операції, пов’язані з кіберзагрозами та іншими потенційно руйнівними атаками, триватимуть у міру розвитку конфлікту».

Ще до початку російського вторгнення в Україну, у січні, країна та веб-сайти її уряду піддалися зіпсуванню та фальсифікації , а російських хакерів звинувачували в атаці.

Росія вторглася 24 лютого. Напередодні Державна служба спеціального зв’язку та захисту інформації України повідомила, що сайти Міністерства закордонних справ, Міністерства оборони, Служби безпеки та різних банків, зокрема, зазнали відключень через DDoS-атаку.

Відтоді кібернаступи тривають.

«Поширилися узгоджені інформаційні операції, включаючи ті, які збігалися з руйнівною діяльністю кіберзагроз, до кампаній, що використовують скоординовані та неавтентичні мережі облікових записів для просування сфабрикованого вмісту та бажаних наративів на різних платформах соціальних мереж, веб-сайтах і форумах», – кажуть дослідники Mandiant.

Що стосується Росії, дослідники кажуть, що більшість поточних дій є «руйнівною» і включає розгортання шкідливих програм wiper.

ESET задокументував штами, зокрема CaddyWiper , які використовуються в цільових обмежених кампаніях. Деякі варіанти wiper виявлено в мережах українських організацій.

Інша версія зловмисного програмного забезпечення wiper, що отримала назву Junkmail, була запущена в мережі, що належить українській організації, за кілька годин до виступу Зеленського перед Конгресом США.

Але шкідливе програмне забезпечення – це не єдина діяльність, яка викликає занепокоєння. У березні хакери, відомі як Secondary Infektion, запустили та поширили фейкове повідомлення, в якому стверджується, що Україна капітулювала через веб-сайт «Україна 24», і навіть створили фальшиву модель штучного інтелекту (ШІ) президента України Зеленського, який передає повідомлення.

Хоча ця група продовжує рекламувати фейкові історії,  Ghostwriter також був активним останнім часом. У лютому команда реагування на комп’ютерні надзвичайні ситуації в Україні (CERT-UA) попередила, що група, яка також відстежується як UNC1151, відповідальна за низку кампаній дезінформації, спроб фішингу та нападів на українські цілі. Угруповання, очевидно, пов’язане з державними інтересами Білорусі.

Нова кампанія, пов’язана з Ghostwriter, виявлена ​​Mandiant, просуває неправдиві розповіді про біженців, в той час як інші групи просувають кампанію дезінформації, спрямовану на «агресивний захист російських стратегічних інтересів», за словами дослідників. Здається, ці дії збігаються з Ghostwriter, що свідчить про те, що між командами може бути співпраця. Крім того, фейкові наративи поширюються, щоб спробувати зіпсувати відносини між Україною та Польщею. Ці історії містять вміст, який зображує біженців як тягар.

APT28, також відомий як Fancy Bear, продовжує публікувати контент на каналах Telegram, пов’язаний з конфліктом, зосереджуючись на «послабленні довіри українців до своєї влади та її реакції на вторгнення».

Ця стаття Кібератаки та діяльність з дезінформації проти України продовжуються раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, повідомляє про кібератаку групи Sandworm (UAC-0082) на об’єкти енергетики України з використанням шкідливих програм Industroyer2 та CaddyWiper.

Задум зловмисників передбачав виведення з ладу декількох інфраструктурних елементів об’єкту атаки, а саме:

• електричних підстанцій – за допомогою шкідливої програми Industroyer2. Причому кожен виконуваний файл містив статично вказаний набір унікальних параметрів для відповідних підстанцій.
• електронних обчислювальних машин під управлінням операційної системи Windows (комп’ютерів користувачів, серверів, а також автоматизованих робочих місць АСУ ТП) – за допомогою шкідливої програми руйнівної дії CaddyWiper.
• серверного обладнання під управлінням операційної системи Linux – за допомогою шкідливих скриптів-деструкторів.
• активного мережевого обладнання.

Відомо, що організація-жертва зазнала двох хвиль атак. Первинна компрометація відбулася не пізніше лютого 2022 року. А на вечір п’ятниці, 8 квітня 2022 року, зловмисники планували відключення електричних підстанцій та виведення з ладу інфраструктури підприємства. Проте реалізації зловмисного задуму вдалося завадити.

Щоб виявити, чи є подібна загроза для інших організацій України, інформацію, зокрема і зразки шкідливих програм, передано міжнародним партнерам та підприємствам енергетичного сектору України.

Словацька фірма з кібербезпеки ESET, яка співпрацювала з CERT-UA для аналізу атаки, заявила, що спроба вторгнення включала використання зловмисного програмного забезпечення з підтримкою ICS і звичайних очищувачів дисків, при цьому зловмисник випустив оновлений варіант зловмисного програмного забезпечення Industroyer, яке вперше було розгорнуто під час нападу на українську енергосистему в 2016 році.

Industroyer, також відомий як «CrashOverride» і названий «найбільшою загрозою для промислових систем управління з часів Stuxnet», є модульним і здатним отримати пряме керування вимикачами на електророзподільній підстанції.

Нова версія складного та настроюваного шкідливого програмного забезпечення, як і його попередник, використовує протокол промислового зв’язку під назвою IEC-104 для захоплення промислового обладнання, такого як реле захисту, яке використовується в електричних підстанціях.

Криміналістичний аналіз артефактів, залишених Industroyer2, виявив мітку часу компіляції 23 березня 2022 року, яка вказує на те, що атака планувалася щонайменше на два тижні. Тим не менш, досі залишається незрозумілим, яким чином цільовий енергооб’єкт спочатку був скомпрометований, або як зловмисники перейшли з ІТ-мережі до мережі промислової системи управління (ICS).

ESET повідомила, що руйнівні дії проти інфраструктури компанії мали відбутися 8 квітня 2022 року, але в кінцевому підсумку були зірвані. Після цього через 10 хвилин на тій же машині передбачався запуск очищувача даних під назвою CaddyWiper, щоб стерти сліди зловмисного програмного забезпечення Industroyer2.

Поряд з Industroyer2 і CaddyWiper, мережа цільового постачальника енергії також була заражена черв’яком для Linux під назвою OrcShred, який потім використовується для поширення двох різних шкідливих програм для очищення, спрямованих на системи Linux і Solaris — AwfulShred і SoloShred — і виведення машин у непрацездатність.

«Україна знову опинилася в центрі кібератак, спрямованих на їхню критично важливу інфраструктуру», – заявили в ESET. «Ця нова кампанія Industroyer слідує за кількома хвилями атак, які були націлені на різні сектори в Україні».

Ця стаття Російські хакери намагалися атакувати енергосистему України раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня