El portal de documentos del gobierno de Ucrania sufre un ciberataque

A finales de febrero de 2021, el gobierno de Ucrania informó de un ciberataque a la infraestructura de intercambio de documentos del gobierno. El centro de ciberseguridad del país declaró que los "métodos y medios" del ataque sugieren la participación de un "grupo de espías hackers" originario de Rusia.

El ataque tuvo como objetivo el Sistema de Interacción Electrónica de Órganos Ejecutivos, un portal web ucraniano utilizado para compartir documentos entre organismos gubernamentales y autoridades públicas.

Las autoridades ucranianas descubrieron documentos maliciosos cargados en el portal que contenían macros. Este no es un enfoque de ataque inusual o particularmente novedoso, pero lamentablemente uno que aún funciona bastante bien.

Una vez que se ha abierto un documento malicioso, le pedirá al usuario que permita la ejecución de la macro. Si se da permiso, los scripts de macros descargarían silenciosamente la carga útil real de cualquier malware que hayan preparado los malos actores detrás del ataque.

Este tipo de vector de ataque se puede utilizar para distribuir todo tipo de cargas útiles de segunda etapa, desde troyanos y puertas traseras hasta raspadores de información, registradores de claves y ransomware.

Las autoridades ucranianas no nombraron ningún organismo o grupo en particular que tenga un nombre codificado, pero dijeron que el ataque contenía una serie de indicadores de compromiso, incluido el dominio enterox.ru, así como una dirección IP y una página PHP alojada en él. .

Según una investigación realizada por el equipo de seguridad de ZDNet, el nombre de dominio probablemente indicó que el ataque está vinculado a la APT de Gamaredon. Se considera que Gamaredon es un grupo de piratas informáticos patrocinados por el estado, que operan desde Rusia, que han lanzado ataques contra redes ucranianas en el pasado.

Unos días antes del anuncio de este ataque, las autoridades ucranianas también informaron que los malos actores rusos atacaron varias instituciones ucranianas diferentes, incluido el sitio web del Servicio de Seguridad del país, con ataques distribuidos de denegación de servicio.