Ukrajna kormányának okmányportálja Cyber Attacket szenved
2021. február végén az ukrán kormány kibertámadásról számolt be a kormányzati dokumentummegosztó infrastruktúra ellen. Az ország kiberbiztonsági központja kijelentette, hogy a támadás "módszerei és eszközei" egy Oroszországból származó "hacker-kémcsoport" bevonására utalnak.
A támadás a végrehajtó szervek elektronikus interakciójának rendszerére irányult, egy ukrán internetes portálra, amelyet dokumentumok megosztására használtak a kormányzati szervek és a hatóságok között.
Az ukrán hatóságok rosszindulatú dokumentumokat fedeztek fel a portálra, amelyek makrókat tartalmaztak. Ez nem szokatlan vagy különösen újszerű támadási megközelítés, de sajnos még mindig nagyon jól működik.
Miután egy rosszindulatú dokumentumot megnyitottak, felkérte a felhasználót, hogy engedélyezze a makró végrehajtását. Ha engedélyt adnak, a makró szkriptek csendesen letöltenék a támadás mögött álló rossz szereplők által készített rosszindulatú programok valós terhelését.
Ez a fajta támadási vektor felhasználható a második szakasz hasznos terheinek minden modellezésére, a trójaiaktól és a hátsó ajtóktól kezdve az információs kaparókig, a kulcs naplózókig és a ransomware-ig.
Az ukrán hatóságok nem neveztek meg egyetlen olyan testületet vagy csoportot sem, amelynek kodifikált neve lenne, de közölték, hogy a támadás számos kompromisszumos mutatót tartalmazott, ideértve az enterox.ru domaint, valamint egy IP-címet és egy rajta tárolt PHP-oldalt. .
A ZDNet biztonsági csapat által végzett kutatás alapján a domain név valószínűleg azt jelezte, hogy a támadás a Gamaredon APT-hez kapcsolódik. A Gamaredont az állam által támogatott hackerek csoportjának tekintik, akik Oroszországból működnek, és akik korábban az ukrán hálózatok ellen indítottak támadásokat.
Néhány nappal a támadás bejelentése előtt az ukrán hatóságok arról is beszámoltak, hogy az orosz rossz szereplők számos különféle ukrán intézményt céloztak meg, ideértve az ország Biztonsági Szolgálatának weboldalát is, szervezetten elutasított támadásokkal.