Хакерське угруповання РФ Armageddon нарощує активність в ІТ-системах держорганів України
Основним завданням хакерів одного з найбільш активних та небезпечних російських хакерських угрупувань – UAC-0010 (Armageddon / Gamaredon) є кібершпигунство щодо сил безпеки та оборони України. Також відомо щонайменше про один випадок ведення деструктивної діяльності на об’єкті інформаційної інфраструктури. Такого висновку дійшли фахівці Урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, повідомляє пресслужба Держспецзв’язку.
До угруповання належать колишні "офіцери" з СБУ в АР Крим, які 2014 року зрадили присягу й почали прислужувати ФСБ РФ.
За даними CERT-UA, кількість одночасно інфікованих комп’ютерів, які переважно функціонують у межах інформаційно-комунікаційних систем державних органів, може сягати кількох тисяч.
Хакери здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб – надсилання жертві архіву, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування.
"Для розповсюдження шкідливих програм передбачена можливість ураження знімних носіїв інформації, легітимних файлів (зокрема, ярликів), а також модифікації шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних на ЕОМ документів через додавання відповідного макросу", – зазначають у Держспецзв’язку.
Після початкового ураження хакери можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30–50 хвилин – здебільшого із застосуванням шкідливих програм GAMMASTEEL.
Комп’ютер, який працює ураженим близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, що будуть створені на знімних носіях інформації, які підключатимуться протягом цього періоду до ЕОМ.
Також фахівці Урядової команди реагування на комп’ютерні надзвичайні події України застерігають військовослужбовців ЗСУ: якщо на комп’ютері відсутній засіб захисту класу EDR (не "антивірус") – негайно зверніться до Центру кібербезпеки ІТС (в/ч А0334; email: [email protected]) для встановлення відповідного програмного забезпечення.
У групі підвищеного ризику – ЕОМ, розміщені за межами периметра захисту, зокрема ті, які для доступу до інтернету використовують термінали Stralink.
Відсутність згаданої технології захисту підвищує ймовірність кібератак як на окремий комп’ютер, так і на всю інформаційно-комунікаційну систему (мережу) підрозділу.
Як повідомляв ІМІ, кіберполіція розповіла про правила безпеки, щоб не стати жертвою шахрайської схеми виманювання грошей у соцмережах "Друг просить у борг у месенджері".
Help us be even more cool!