Η πύλη του κυβερνητικού εγγράφου της Ουκρανίας υφίσταται επίθεση στον κυβερνοχώρο

Στα τέλη Φεβρουαρίου 2021, η ουκρανική κυβέρνηση ανέφερε επίθεση στον κυβερνοχώρο σε κυβερνητική υποδομή κοινής χρήσης εγγράφων. Το κέντρο κυβερνοασφάλειας της χώρας δήλωσε ότι οι «μέθοδοι και μέσα» της επίθεσης υποδηλώνουν τη συμμετοχή μιας «ομάδας κατασκόπων χάκερ» που κατάγεται από τη Ρωσία.

Η επίθεση στοχεύει στο Σύστημα Ηλεκτρονικής Αλληλεπίδρασης Εκτελεστικών Φορέων, μια ουκρανική διαδικτυακή πύλη που χρησιμοποιείται για την κοινή χρήση εγγράφων μεταξύ κυβερνητικών φορέων και δημόσιων αρχών.

Ουκρανικές αρχές ανακάλυψαν κακόβουλα έγγραφα που ανέβηκαν στην πύλη και περιείχαν μακροεντολές. Αυτή δεν είναι μια ασυνήθιστη ή ιδιαίτερα νέα προσέγγιση επίθεσης, αλλά δυστυχώς αυτή εξακολουθεί να λειτουργεί αρκετά καλά.

Μόλις ανοίξει ένα κακόβουλο έγγραφο, θα ζητήσει από το χρήστη να επιτρέψει την εκτέλεση μακροεντολών. Εάν δοθεί άδεια, τα σενάρια μακροεντολής θα κατεβάσουν ήσυχα το πραγματικό ωφέλιμο ό, τι κακόβουλο λογισμικό που έχουν ετοιμάσει οι κακοί ηθοποιοί πίσω από την επίθεση.

Αυτό το είδος φορέα επίθεσης μπορεί να χρησιμοποιηθεί για τη διανομή όλων των τρόπων ωφέλιμου φορτίου δεύτερου σταδίου, από Trojans και backdoors σε εργαλεία ξύρωσης πληροφοριών, βασικούς καταγραφείς και ransomware.

Οι αρχές της Ουκρανίας δεν ονόμασαν κάποιο συγκεκριμένο σώμα ή ομάδα που έχει κωδικοποιημένο όνομα, αλλά ανέφεραν ότι η επίθεση περιείχε έναν αριθμό δεικτών συμβιβασμού, συμπεριλαμβανομένου του τομέα enterox.ru, καθώς και μια διεύθυνση IP και μια σελίδα PHP που φιλοξενείται σε αυτό .

Με βάση έρευνα που διεξήχθη από την ομάδα ασφαλείας ZDNet, το όνομα τομέα πιθανότατα έδειξε ότι η επίθεση συνδέεται με το Gamaredon APT. Το Gamaredon θεωρείται μια ομάδα χάκερ που χρηματοδοτείται από το κράτος, η οποία δραστηριοποιείται εκτός της Ρωσίας, οι οποίες έχουν ξεκινήσει επιθέσεις εναντίον ουκρανικών δικτύων στο παρελθόν.

Λίγες μέρες πριν από την ανακοίνωση αυτής της επίθεσης, οι ουκρανικές αρχές ανέφεραν επίσης ότι οι Ρώσοι κακοί ηθοποιοί στοχεύουν σε διάφορα διαφορετικά ουκρανικά ιδρύματα, συμπεριλαμβανομένου του ιστότοπου της Υπηρεσίας Ασφαλείας της χώρας, με κατανεμημένες επιθέσεις άρνησης υπηρεσίας.

February 25, 2021

Αφήστε μια απάντηση