CERT-UA розкрила атаку Sandworm на інфраструктурні об’єкти

0
3 787 views
Укрінформ могли атакувати хакери, пов’язані з російським ГРУ

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, розкрила зловмисний задум угрупування UAC-0133 (Sandworm), спрямований на порушення роботи інформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузей енергетики, водо- та теплопостачання у десяти регіонах України.

Угруповання Sandworm, діяльність якого асоціюється із головним управлінням генерального штабу збройних сил російської федерації (раніше відомого як гру) є одним із найбільш активних та небезпечних.

Що сталося

Під прицілом хакерів опинилося майже два десятки українських компаній, що постачають українцям електроенергію, воду та тепло. Для отримання первинного доступу, в тому числі, було застосовано так звані “supply chain attacks” – атаки на ланцюжки постачання.

Кінцевий задум ворога полягав у виведенні з ладу обладнання ІКС, що мало б завдати ще більшої шкоди Україні на фоні весняних ракетних атак на критичну інфраструктуру.

Деталі атаки

Деталі атаки

  • Окрім відомого з 2022 року бекдору QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), виявлено нові інструменти зловмисників: LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED).
  • Цілями стали комп’ютери, що використовуються для керування технологічними процесами з вітчизняним спеціальним програмним забезпеченням (СПЗ).
  • BIASBOAT було зашифровано під конкретний сервер з використанням “machine-id”, отриманого зловмисниками заздалегідь.
  • Компрометовано щонайменше три “ланцюги постачання”:
    • Встановлення СПЗ, що містило програмні закладки та вразливості.
    • Використання штатної технічної можливості співробітників постачальника для отримання доступу до ІКС організацій.
  • Зловмисники використовували скомпрометовані ЕОМ для поширення атаки на корпоративні мережі підприємств.
  • На скомпрометованих ЕОМ знайдено PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.

Чому це важливо

Експерти зазначають, що ця атака є свідченням того, що росія продовжує використовувати кібератаки як зброю проти України. Зокрема, угрупування Sandworm продовжує активно атакувати Україну.

Тому інфраструктурні підприємства ОКІ повинні вжити всіх необхідних заходів для захисту своїх ІКС.

Важливо, щоб усі українці знали про цю загрозу та вживали заходів для захисту себе та своїх даних.

Деталі атаки

Рекомендації

Держспецзв’язку даэ наступні рекомендації:

  • Сегментувати мережі та обмежити доступ до елементів ІКС, користуючись принципом мінімальної необхідності та “нульової” довіри.
  • Використовувати багатофакторну аутентифікацію.
  • Навчати персонал основ кібербезпеки.