Фахівці Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, проаналізували актуальні тактики, техніки та процедури, що використовують хакери одного з найбільш активних та небезпечних російських хакерських угрупувань – UAC-0010 (Armageddon / Gamaredon).
Нагадаємо, до нього належать колишні «офіцери» із СБУ в АР Крим, які у 2014 році зрадили Батьківщину і почали прислужувати фсб росії.
Основним завданням угрупування є кібершпигунство щодо сил безпеки та оборони України. Також відомо щонайменше про один випадок здійснення деструктивної діяльності на об’єкті інформаційної інфраструктури.
За даними CERT-UA, кількість одночасно інфікованих комп’ютерів, які переважно функціонують в межах інформаційно-комунікаційних систем державних органів, може сягати кількох тисяч.
Як атакують
- Як вектор первинної компрометації хакери здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб – надсилання жертві архіву, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.
- Для розповсюдження шкідливих програм передбачена можливість ураження знімних носіїв інформації, легітимних файлів (зокрема, ярликів), а також модифікації шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних на ЕОМ документів через додавання відповідного макросу.
- Після початкового ураження зловмисники можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30-50 хвилин – здебільшого із застосуванням шкідливих програм GAMMASTEEL.
- Комп’ютер, що функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, що будуть створені на знімних носіях інформації, які будуть підключатися протягом цього періоду до ЕОМ.
Особлива увага!
Також фахівці CERT-UA застерігають військовослужбовців ЗСУ: якщо на комп’ютері відсутній засіб захисту класу EDR (не «антивірус») – негайно зверніться до Центру кібербезпеки ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для встановлення відповідного програмного забезпечення.
У групі підвищеного ризику – комп’ютери, розміщені за межами периметру захисту, зокрема ті, які для доступу до інтернету використовують термінали Stralink.
Відсутність згаданої технології захисту підвищує вірогідність кібератак як на окремий комп’ютер, так і на всю інформаційно-комунікаційну систему (мережу) підрозділу.
У разі виявлення факту ураження за наведеними CERT-UA індикаторами – невідкладно повідомляйте Центр кібербезпеки ІТС.
