Ukrainas regjeringsdokumentportal lider nettangrep

I slutten av februar 2021 rapporterte den ukrainske regjeringen et nettangrep på infrastruktur for deling av myndighetsdokumenter. Landets datasikkerhetssenter uttalte at angrepens "metoder og midler" antyder involvering av en "hacker-spiongruppe" med opprinnelse fra Russland.

Angrepet var rettet mot System of Electronic Interaction of Executive Bodies, en ukrainsk nettportal som ble brukt til å dele dokumenter mellom offentlige organer og offentlige myndigheter.

Ukrainske myndigheter oppdaget ondsinnede dokumenter lastet opp på portalen som inneholdt makroer. Dette er ikke en uvanlig eller spesielt ny angrepstilnærming, men dessverre en som fremdeles fungerer ganske bra.

Når et ondsinnet dokument er åpnet, vil det be brukeren om å tillate makroutførelse. Hvis tillatelse blir gitt, vil makroskriptene stille laste ned den virkelige nyttelasten av hvilken som helst skadelig programvare de dårlige skuespillerne bak angrepet har utarbeidet.

Denne typen angrepsvektor kan brukes til å distribuere alle oppføringer av nyttetrinns nyttelast, fra trojanere og bakdører til informasjonskrapere, nøkkelloggere og løsepenger.

De ukrainske myndighetene nevnte ikke noe bestemt organ eller en gruppe som har et kodifisert navn, men sa at angrepet inneholdt en rekke indikatorer på kompromiss, inkludert domenet enterox.ru, samt en IP-adresse og en PHP-side som var vert på den .

Basert på forskning utført av ZDNet-sikkerhetsteamet, antydet domenenavnet sannsynligvis at angrepet er knyttet til Gamaredon APT. Gamaredon regnes for å være en statsstøttet gruppe hackere, som opererer utenfor Russland, som tidligere har lansert angrep på ukrainske nettverk.

Noen dager før kunngjøringen av dette angrepet rapporterte ukrainske myndigheter også at russiske dårlige aktører målrettet mot en rekke forskjellige ukrainske institusjoner, inkludert landets sikkerhetstjenesteside, med distribuert tjenestenektangrep.