Кібератака на Систему електронної взаємодії органів виконавчої влади пов'язана з російським хакерським шпигунським угрупованням Pterodo/Gamaredon, з'ясували в Національному координаційному центрі кібербезпеки при Раді нацбезпеки і оборони України.
У повідомленні відомства говориться, що кібератаку здійснили через систему електронного документообігу ASKOD, в ній брали участь 14 доменів, зокрема bonitol.ru, mulleti.ru, mullus.ru, sardanal.online, thermop.ru, omyce.ru, butyri.ru, tridiuma.ru, rificum.ru, guill.ru, candidar.ru, lipolys.ru, mondii.ru, subtila.ru, tropisti.ru, а також IP-адреса «188.225.37.128».
Хто такі Gamaredon і Pterodo
Свою активність хакерське шпигунське угруповання Gamaredon, яке також відоме як Primitive Bear, веде щонайменше з 2013 року й орієнтується на національні установи, зокрема українські. У 2019 році вона стала найактивнішою. Влітку 2020 року почала використовувати нові інструменти, які включають модуль для Microsoft Outlook, який створює для користувача електронні листи зі шкідливими документами і відправляє їх контактам жертви.
Що стосується програми Pterodo, яку виявили під час цієї кібератаки, то це шкідлива програма, яка збирає відомості про систему, регулярно передає їх зловмисникам і очікує подальших команд. Видання Ars Technica раніше писало, що станом на 2018 рік версія Pterodo активізувалася тільки в Windows з локалізацією для українського, білоруського, російського, вірменського та інших мов колишніх радянських держав, що ускладнює проведення автоматичного аналізу шкідливого ПЗ.
Найвідоміші атаки Gamaredon
Відомі щонайменше кілька випадків хакерських атак Gamaredon. Як з'ясували фахівці компанії Anomali, Gamaredon із середини жовтня 2019 року почала атакувати українські установи, окремих дипломатів, військових і правоохоронців, журналістів та різноманітних держслужбовців. Зловмисники доправляли шкідливу програму шляхом цільового фішингу з прикріпленими до листів шкідливими документами.
У червні минулого року компанія ESET повідомила, що виявила нову активність угруповання. Так, для поширення шкідливого програмного забезпечення вони застосовували інноваційні інструменти. Перший був націлений на Microsoft Outlook із використанням створеного Microsoft Outlook Visual Basic, що дозволило зловмисникам використовувати обліковий запис електронної пошти жертви і відправляти листи контактам з адресної книги. Другий інструмент Gamaredon застосовував для додавання макросів і посилань на віддалені шаблони в документах Office — Word і Excel.
«Обидва інструменти призначені для подальшого поширення шкідливого програмного забезпечення Gamaredon у заражених мережах», — зазначили в компанії.
У серпні 2020 року стало відомо, що Національний координаційний центр кібербезпеки при РНБО виявив ознаки підготовки до масштабної скоординованої атаки на органи державної влади та об'єкти критичної інфраструктури. Це сталося напередодні Дня Незалежності та під час підготовки до чергових місцевих виборів. Експерти пов'язали її з Gamaredon.
Контекст. 24 лютого в Україні зафіксували спроби поширення шкідливих документів через Систему електронної взаємодії органів виконавчої влади.
Читайте також
