Российские хакеры Armageddon активизировались в системах госорганов Украины, - Госспецсвязи

14 июля, 2023 пятница
21:26

Киберпреступники из российской группировки UAC-0010 (Armageddon/Gamaredon) активизировали деятельность по шпионажу за силами безопасности и обороны Украины

client/title.list_title

Об этом сообщает в Telegram Госспецсвязи .

В группировку входят экс-офицеры СБУ из Крыма, которые в 2014 году предали Украину и пошли служить оккупанту. Кроме кибершпионажа, известно по меньшей мере об одном случае деструктивной деятельности на объекте информационной инфраструктуры.

По данным правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA, действующей при Госспецсвязи, количество одновременно инфицированных компьютеров, преимущественно функционирующих в рамках информационно-коммуникационных систем государственных органов, может достигать нескольких тысяч.

Как атакуют:

  • Как вектор первичной компрометации хакеры используют электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые рассылают через заранее скомпрометированные учетные записи. Самый распространенный способ – отправка жертве архива, содержащего HTM или HTA-файл, открытие которого инициирует цепь инфицирования.
  • Для распространения вредоносных программ предусмотрена возможность поражения съемных носителей информации, легитимных файлов (в частности, ярлыков), а также модификации шаблонов Microsoft Office Word, обеспечивающих инфицирование всех создаваемых на ЭВМ документов через добавление соответствующего макроса.
  • После начального поражения злоумышленники могут похищать файлы с расширениями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z , .mdb в течение 30-50 минут – в основном с применением вредоносных программ GAMMASTEEL.
  • Компьютер, функционирующий в пораженном состоянии около недели, может насчитывать от 80 до 120 и более вредоносных (инфицированных) файлов, без учета тех файлов, которые будут созданы на съемных носителях информации, что будут подключаться в течение этого периода к ЭВМ.

Рекомендации CERT-UA по защите от кибератак группировки можно посмотреть на сайте правительственной команды реагирования по ссылке .

Специалисты CERT-UA предостерегают военнослужащих ВСУ: если на компьютере отсутствует средство защиты класса EDR (не "антивирус"), следует немедленно обратиться в Центр кибербезопасности ИТС (в/ч А0334; email: [email protected]) для установки соответствующего программного обеспечения.

В группе повышенного риска – компьютеры, расположенные за пределами периметра защиты, в том числе те, которые для доступа в интернет используют терминалы Stralink.

"Отсутствие данной технологии защиты повышает вероятность кибератак как на отдельный компьютер, так и на всю информационно-коммуникационную систему (сеть) подразделения. В случае обнаружения факта поражения по приведенным CERT-UA индикаторам – безотлагательно сообщайте в Центр кибербезопасности ИТС", - отмечает Госспецсвязи.

Ранее CERT-UA обнаружила злонамеренный сайт, имитирующий англоязычную версию Всемирного Конгресса Украинцев: там были размещены два фальшивых документа, которые могут заражать устройства.

Теги:
Киев
+19°C
  • Киев
  • Львов
  • Винница
  • Днепр
  • Донецк
  • Житомир
  • Запорожье
  • Ивано-Франковск
  • Кропивницкий
  • Луганск
  • Луцк
  • Николаев
  • Одесса
  • Полтава
  • Ровно
  • Сумы
  • Симферополь
  • Тернополь
  • Ужгород
  • Харьков
  • Херсон
  • Хмельницкий
  • Черкасси
  • Черновцы
  • Чернигов
  • Белая Церковь
  • USD 41.35
    Покупка 41.35
    Продажа 41.89
  • EUR
    Покупка 45.07
    Продажа 45.82
  • Актуальное
  • Важное