Кибератака на Систему электронного взаимодействия органов исполнительной власти связана с российской хакерской шпионской группировкой Pterodo/Gamaredon, выяснили в Национальном координационном центре кибербезопасности при Совете нацбезопасности и обороны Украины.
В сообщении ведомства говорится, что кибератаку осуществили через систему электронного документооборота ASKOD, в ней участвовали 14 доменов, в частности bonitol.ru, mulleti.ru, mullus.ru, sardanal.online, thermop.ru, omyce.ru, butyri.ru, tridiuma.ru, rificum.ru, guill.ru, candidar.ru, lipolys.ru, mondii.ru, subtila.ru, tropisti.ru, а также IP-адрес «188.225.37.128».
Кто такие Gamaredon и Pterodo
Свою активность хакерская шпионская группировка Gamaredon, которая также известна как Primitive Bear, ведет как минимум с 2013 года и ориентируется на национальные учреждения, в частности украинские. В 2019 году она стала наиболее активной. Летом 2020 года она начала использовать новые инструменты, которые включают модуль для Microsoft Outlook, который создает пользовательские электронные письма со вредоносными документами и отправляет их контактам жертвы.
Что касается программы Pterodo, которую обнаружили в ходе данной кибератаки, то это вредоносная программа, собирающая сведения о системе, регулярно передающая их злоумышленникам и ожидающая дальнейших команд. Издание Ars Technica ранее писало, что по состоянию на 2018 год, версия Pterodo активировалась только в Windows с локализацией для украинского, белорусского, русского, армянского и других языков бывших советских государств, что усложняет проведение автоматического анализа вредоносного ПО.
Самые известные атаки Gamaredon
Известны как минимум несколько случаев хакерских атак Gamaredon. Как выяснили специалисты компании Anomali, Gamaredon с середины октября 2019 года начала атаковать украинские учреждения, отдельных дипломатов, военных и правоохранителей, журналистов и различных госслужащих. Злоумышленники доставляли вредоносную программу путем целевого фишинга с прикрепленными к письмам вредоносными документами.
В июне прошлого года компания ESET сообщила, что обнаружила новую активность группировки. Так, для распространения вредоносного программного обеспечения они применили инновационные инструменты. Первый был нацелен на Microsoft Outlook с использованием созданного Microsoft Outlook Visual Basic, что позволило злоумышленникам использовать учетную запись электронной почты жертвы и отправлять письма контактам из адресной книги. Второй инструмент Gamaredon употребил для добавления макросов и ссылок на удаленные шаблоны в документах Office — Word и Excel.
«Оба инструмента предназначены для дальнейшего распространения вредоносного программного обеспечения Gamaredon в зараженных сетях», — отметили в компании.
В августе 2020 года стало известно, что Национальный координационный центр кибербезопасности при СНБО выявил признаки подготовки к масштабной скоординированной атаке на органы государственной власти и объекты критической инфраструктуры. Это произошло накануне Дня Независимости и во время подготовки к очередным местным выборам. Эксперты связали ее с Gamaredon.
Контекст. 24 февраля в Украине зафиксировали попытки распространения вредных документов через Систему электронного взаимодействия органов исполнительной власти.
Читайте также
