Ukraines regeringsdokumentportal lider cyberangreb

I slutningen af februar 2021 rapporterede den ukrainske regering om et cyberangreb på infrastruktur for deling af regeringsdokumenter. Landets cybersikkerhedscenter erklærede, at "metoderne og midlerne" til angrebet antyder involvering af en "hacker-spiongruppe", der stammer fra Rusland.

Angrebet var rettet mod System of Electronic Interaction of Executive Bodies, en ukrainsk webportal, der blev brugt til deling af dokumenter mellem regeringsorganer og offentlige myndigheder.

Ukrainske myndigheder opdagede ondsindede dokumenter uploadet på portalen, der indeholdt makroer. Dette er ikke en usædvanlig eller særlig ny angrebstilgang, men desværre en, der stadig fungerer ganske godt.

Når et ondsindet dokument er blevet åbnet, vil det bede brugeren om at tillade udførelse af makro. Hvis der gives tilladelse, vil makroskripterne stille og roligt downloade den rigtige nyttelast af den malware, de dårlige skuespillere bag angrebet har forberedt.

Denne form for angrebsvektor kan bruges til at distribuere alle manerer af anden-trins nyttelast, fra trojanske heste og bagdøre til informationskrabere, nøgleloggere og ransomware.

De ukrainske myndigheder navngav ikke nogen særlig instans eller gruppe, der har et kodificeret navn, men sagde, at angrebet indeholdt en række indikatorer for kompromis, herunder domænet enterox.ru, samt en IP-adresse og en PHP-side, der er vært på den .

Baseret på forskning udført af ZDNet-sikkerhedsteamet angav domænenavnet sandsynligvis, at angrebet er knyttet til Gamaredon APT. Gamaredon anses for at være en statsstøttet gruppe af hackere, der opererer ud af Rusland, og som tidligere har lanceret angreb på ukrainske netværk.

Et par dage før meddelelsen om dette angreb rapporterede de ukrainske myndigheder også, at russiske dårlige aktører målrettede mod en række forskellige ukrainske institutioner, herunder landets sikkerhedstjenestes websted, med distribueret lammelsesangreb.

February 25, 2021

Efterlad et Svar