Вінницька районна рада
Вінницька область
gov.ua Місцеве самоврядування України
  Пошук

Зловмисники використовують легітимне програмне забезпечення для деструктивних атак на українські держоргани

Дата: 03.05.2023 09:53
Кількість переглядів: 44

Зловмисники використовують легітимне програмне забезпечення для деструктивних атак на українські держоргани – аналіз 🧐

🕵️ Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA дослідила кібератаку, імовірно асоційовану з угрупуванням Sandworm. Для виведення з ладу серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних зловмисники використали у тому числі і легітимне програмне забезпечення.

Отримавши несанкціонований доступ до інформаційно-комунікаційної системи об'єкту атаки, для виведення з ладу ЕОМ, що функціонують під управлінням операційної системи (ОС) Windows, застосовано RoarBat - BAT-скрипт. Скрипт здійснює рекурсивний пошук файлів за визначеним переліком розширень для їх подальшого архівування за допомогою легітимної програми WinRAR з опцією «-df». Ця опція передбачає видалення вихідного файлу та подальше видалення створених архівів. Запуск згаданого скрипта здійснено за допомогою запланованого завдання, яке, за попередньою інформацією, було створено та централізовано розповсюджено засобами групової політики (GPO).

Виведення з ладу ЕОМ під управленням ОС Linux здійснено за допомогою BASH-скрипта, що, серед іншого, забезпечував використанням штатної утиліти «dd» для перезапису файлів нульовими байтами.

Спосіб реалізації зловмисного задуму, IP-адреси суб'єктів доступу та використання модифікованої версії RoarBat свідчать про схожість із кібератакою на Укрінформ, інформація про яку була опублікована в одному з російських телеграм-каналів т. зв. «хактивістів» 17 січня цього року. Описану активність із помірним рівнем впевненості CERT-UA асоціює з діяльністю угрупування Sandworm, проте для її точкового відстежування створено відповідний ідентифікатор UAC-0165.

CERT-UA зазначає, що реалізації зловмисного задуму в цій та подібних атаках сприяють відсутність багатофакторної автентифікації при здійсненні віддалених підключень до VPN, а також відсутність сегментації мережі та фільтрації вхідних, вихідних та міжсегментних інформаційних потоків.

📢 Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA закликає не ігнорувати відповідальними співробітниками організацій повідомлень про виявлення ознак аномальної активності та вживати невідкладних заходів зі зменшення «поверхні» атаки. Більш детальна інформація щодо невідкладних заходів кіберзахисту доступна за посиланням 👇

🌐https://cert.gov.ua/article/1751036

Загальна інформація щодо атаки та індикатори кіберзагроз доступні за посиланням 👇

🌐https://cert.gov.ua/article/4501891


« повернутися

Код для вставки на сайт

Вхід для адміністратора

Онлайн-опитування:

Увага! З метою уникнення фальсифікацій Ви маєте підтвердити свій голос через E-Mail
Скасувати

Результати опитування

Форма подання електронного звернення


Авторизація в системі електронних звернень

Авторизація в системі електронних петицій

Ще не зареєстровані? Реєстрація

Реєстрація в системі електронних петицій


Буде надіслано електронний лист із підтвердженням

Потребує підтвердження через SMS


Вже зареєстровані? Увійти

Відновлення забутого пароля

Згадали авторизаційні дані? Авторизуйтесь