Il portale dei documenti del governo ucraino subisce un attacco informatico
Alla fine di febbraio 2021, il governo ucraino ha segnalato un attacco informatico all'infrastruttura di condivisione dei documenti del governo. Il centro di sicurezza informatica del Paese ha dichiarato che i "metodi e mezzi" dell'attacco suggeriscono il coinvolgimento di un "gruppo di spionaggio hacker" originario della Russia.
L'attacco era mirato al Sistema di interazione elettronica degli organi esecutivi, un portale web ucraino utilizzato per la condivisione di documenti tra enti governativi e autorità pubbliche.
Le autorità ucraine hanno scoperto documenti dannosi caricati sul portale che contenevano macro. Questo non è un approccio di attacco insolito o particolarmente nuovo, ma purtroppo funziona ancora abbastanza bene.
Una volta che un documento dannoso è stato aperto, chiederà all'utente di consentire l'esecuzione della macro. Se viene concessa l'autorizzazione, gli script macro scaricheranno silenziosamente il carico utile reale di qualsiasi malware preparato dai malintenzionati dietro l'attacco.
Questo tipo di vettore di attacco può essere utilizzato per distribuire tutti i modi di payload di seconda fase, da Trojan e backdoor a scrapers di informazioni, key logger e ransomware.
Le autorità ucraine non hanno nominato alcun ente o gruppo in particolare con un nome codificato, ma hanno affermato che l'attacco conteneva una serie di indicatori di compromissione, tra cui il dominio enterox.ru, nonché un indirizzo IP e una pagina PHP ospitata su di esso. .
Sulla base di una ricerca condotta dal team di sicurezza ZDNet, il nome di dominio probabilmente indicava che l'attacco è collegato all'APT Gamaredon. Gamaredon è considerato un gruppo di hacker sponsorizzato dallo stato, operante dalla Russia, che ha lanciato attacchi alle reti ucraine in passato.
Pochi giorni prima dell'annuncio di questo attacco, le autorità ucraine hanno anche riferito che i malintenzionati russi hanno preso di mira diverse istituzioni ucraine, incluso il sito web del servizio di sicurezza del paese, con attacchi di negazione del servizio distribuiti.