CERT-UA вбачає кіберзагрози для критичної інфраструктури

0
429 views
CERT-UA відстежує активність кібератак з боку UAC-0050

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA ідентифікувала активність кіберугруповання UAC-0212, спрямовану на розробників та постачальників автоматизованих систем управління технологічними процесами (АСУТП). Мета цих атак – отримання доступу до ІКС підприємств критичної інфраструктури України.

Основні факти

  • З початку січня по 20 лютого 2025 року зафіксовано кібератаки на щонайменше 25 українських підприємств, що розробляють АСУТП та здійснюють електромонтажні роботи.
  • Ці компанії обслуговують сотні українських підприємств, що забезпечують критично важливі функції, такі як енерго-, тепло- та водопостачання.
  • Зловмисники використовують тактику “соціальної інженерії”, видаючи себе за потенційних замовників та протягом кількох днів листуючись із жертвами.
  • Під приводом ознайомлення з “технічною документацією” зловмисники надсилають PDF-документи зі шкідливим вмістом, що призводить до компрометації комп’ютерних систем жертв.
Приклад ланцюга ураження
Приклад ланцюга ураження

Атаки тривають

У першому кварталі 2024 року CERT-UA виявила зловмисний план щодо кібератак на інформаційно-комунікаційні системи (ІКС) близько 20 підприємств енергетичної, водної та теплової галузей у 10 регіонах України. Ця діяльність отримала назву UAC-0133 та пов’язана з UAC-0002 (Sandworm, APT44, Seashell Blizzard).

З другої половини 2024 року зловмисники почали використовувати нові методи, зокрема надсилаючи жертвам PDF-документи з посиланнями. Відкриття цих посилань та використання вразливості CVE-2024-38213 призводило до завантаження LNK-файлу (“pdf.lnk”), який запускав PowerShell-команду для завантаження та відображення фальшивого документу, а також завантаження, закріплення (через гілку “Run”) та запуск EXE/DLL файлів.

У кібератаках використовувалися різні шкідливі програми, такі як SECONDBEST/EMPIREPAST, SPARK, CROOKBAG (завантажувач на GoLang). Для довготривалого викрадення документів використовувався RSYNC.

Дослідження кампаній з липня 2024 року по лютий 2025 року показало, що метою атак були постачальники з Сербії, Чехії, України та інших країн. У серпні 2024 року під прицілом були щонайменше 12 українських логістичних підприємств. З січня по 20 лютого 2025 року кібератаки були спрямовані на чотири українські підприємства з виробництва обладнання для зберігання зерна та 25 українських підприємств, що розробляють автоматизовані системи управління технологічними процесами (АСУТП). Компанії, що розробляють АСУТП, обслуговують сотні українських підприємств, що забезпечують критично важливі функції, такі як енергопостачання, водопостачання та водовідведення.

Зловмисники, видаючи себе за потенційних клієнтів, протягом кількох днів листуються з жертвами, щоб змусити їх ознайомитися з “технічною документацією” у форматі PDF.

Ця активність, що отримала назву UAC-0212 (підкластер UAC-0002), свідчить про наміри зловмисників проникнути в комп’ютерні мережі постачальників послуг для подальшого використання даних для компрометації ІКС критичних підприємств.

Приклад запуску RSYNC на ЕОМ керівника одного з підприємств-розробників рішень для АСУТП
Приклад запуску RSYNC на ЕОМ керівника одного з підприємств-розробників рішень для АСУТП

Що робити

CERT-UA закликає:

  • Постачальників рішень АСУТП: бути особливо пильними та посилити заходи кібербезпеки своїх систем.
  • Підприємства критичної інфраструктури: перевірити своїх постачальників на предмет можливої компрометації та вжити необхідних заходів для захисту власних ІКС.
  • Усіх громадян: бути уважними до підозрілих повідомлень та файлів, особливо від невідомих осіб або з невідомих адрес.

Рекомендації

  • Не відкривати підозрілі PDF-документи та не переходити за посиланнями в них.
  • Перевіряти файли на віруси за допомогою актуального антивірусного програмного забезпечення.
  • Використовувати складні паролі та змінювати їх регулярно.
  • Встановити двофакторну автентифікацію, де це можливо.
  • Оновлювати програмне забезпечення до останніх версій.
  • Проводити навчання з кібербезпеки для співробітників.

У разі виявлення підозрілої активності:

  • Негайно зверніться до CERT-UA.
  • Зберігайте всі докази інциденту.
  • Не намагайтеся самостійно розслідувати інцидент, оскільки це може призвести до втрати даних або погіршення ситуації.

Важливо пам’ятати

Кібербезпека – це спільна відповідальність. Будьте пильними та обережними, щоб захистити себе та свою організацію від кіберзагроз.