Ukrainos vyriausybės dokumentų portalas kenčia nuo kibernetinės atakos

2021 m. Vasario pabaigoje Ukrainos vyriausybė pranešė apie kibernetinę ataką prieš vyriausybės dalijimosi dokumentais infrastruktūrą. Šalies kibernetinio saugumo centras pareiškė, kad išpuolio „metodai ir priemonės“ rodo, kad jame dalyvauja „įsilaužėlių šnipų grupė“, kilusi iš Rusijos.

Ataka buvo nukreipta į vykdomųjų organų elektroninės sąveikos sistemą - Ukrainos internetinį portalą, naudojamą dokumentams dalytis tarp valdžios institucijų ir valdžios institucijų.

Ukrainos valdžia aptiko į portalą įkeltus kenkėjiškus dokumentus, kuriuose buvo makrokomandų. Tai nėra neįprastas ar ypač naujas puolimo metodas, bet, deja, vis dar veikia gana gerai.

Atidarius kenkėjišką dokumentą, jis paprašys vartotojo leisti vykdyti makrokomandą. Jei bus duotas leidimas, makrokomandų scenarijai tyliai parsisiųs realią kenkėjišką apkrovą bet kokios kenkėjiškos programos, kurią paruošė išpuolio veikėjai.

Tokį atakos vektorių galima panaudoti paskirstant visas antrojo etapo naudingų apkrovų manieras, pradedant Trojos arkliu ir užpakalinėmis durimis, baigiant informacijos grandikliais, raktų kaupikliais ir išpirkos programine įranga.

Ukrainos valdžia neįvardijo jokios konkrečios įstaigos ar grupės, turinčios koduotą pavadinimą, tačiau teigė, kad išpuolyje buvo daugybė kompromisų rodiklių, įskaitant domeną enterox.ru, taip pat IP adresą ir jame priglobtą PHP puslapį. .

Remiantis „ZDNet“ saugos komandos atliktais tyrimais, domeno vardas greičiausiai nurodė, kad ataka yra susijusi su „Gamaredon“ APT. „Gamaredon“ yra laikoma valstybės remiama įsilaužėlių grupe, veikiančia už Rusijos ribų, kurie anksčiau yra atakavę Ukrainos tinklus.

Likus kelioms dienoms iki pranešimo apie šią ataką, Ukrainos valdžia taip pat pranešė, kad blogi Rusijos veikėjai nusitaikė į daugybę skirtingų Ukrainos institucijų, įskaitant šalies saugumo tarnybos svetainę.