Російські хакери Armageddon активізувалися в системах держорганів України, - Держспецзв'язку

Кіберзлочинці з російського угрупування UAC-0010 (Armageddon/Gamaredon) активізували діяльність зі шпигунства за силами безпеки та оборони України

Про це повідомляє у Telegram Держспецзв'язку.

До угруповання входять екс офіцери СБУ з Криму, які у 2014 році зрадили Україну та пішли служити окупанту. Крім кібершпигунства, відомо щонайменше про один випадок деструктивної діяльності на об'єкті інформаційної інфраструктури.

За даними урядової команди реагування на комп'ютерні надзвичайні події України CERT-UA, що діє при Держспецзв'язку, кількість одночасно інфікованих комп’ютерів, які переважно функціонують в межах інформаційно-комунікаційних систем державних органів, може сягати кількох тисяч.

Як атакують:

• Як вектор первинної компрометації хакери здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб – надсилання жертві архіву, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.
• Для розповсюдження шкідливих програм передбачена можливість ураження знімних носіїв інформації, легітимних файлів (зокрема, ярликів), а також модифікації шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних на ЕОМ документів через додавання відповідного макросу.
• Після початкового ураження зловмисники можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30-50 хвилин – здебільшого із застосуванням шкідливих програм GAMMASTEEL.
• Комп'ютер, що функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, що будуть створені на знімних носіях інформації, які будуть підключатися протягом цього періоду до ЕОМ.

Рекомендації CERT-UA щодо захисту від кібератак угруповання можна подивитися на сайті урядової команди реагування за посиланням.

Фахівці CERT-UA застерігають військовослужбовців ЗСУ: якщо на комп'ютері відсутній засіб захисту класу EDR (не "антивірус"), слід негайно звернутися до Центру кібербезпеки ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для встановлення відповідного програмного забезпечення.

У групі підвищеного ризику – комп'ютери, розміщені за межами периметру захисту, зокрема ті, які для доступу до інтернету використовують термінали Stralink.

"Відсутність згаданої технології захисту підвищує вірогідність кібератак як на окремий комп’ютер, так і на всю інформаційно-комунікаційну систему (мережу) підрозділу. У разі виявлення факту ураження за наведеними CERT-UA індикаторами – невідкладно повідомляйте Центр кібербезпеки ІТС", - зазначає Держспецзв'язку.

Раніше CERT-UA виявила зловмисний сайт, який імітує англомовну версію Світового Конгресу Українців: там було розміщено два фальшиві документи, які можуть заражати пристрої.