Portal dokumentów rządu Ukrainy padł ofiarą ataku cybernetycznego

Pod koniec lutego 2021 roku ukraiński rząd poinformował o cyberataku na infrastrukturę wymiany dokumentów rządowych. Krajowe centrum cyberbezpieczeństwa stwierdziło, że „metody i środki” ataku sugerują udział „hakerskiej grupy szpiegowskiej” wywodzącej się z Rosji.

Atak został wymierzony w system elektronicznej interakcji organów wykonawczych, ukraiński portal internetowy służący do wymiany dokumentów między organami rządowymi a organami publicznymi.

Władze ukraińskie wykryły złośliwe dokumenty przesłane do portalu, które zawierały makra. Nie jest to niezwykłe ani szczególnie nowatorskie podejście do ataku, ale niestety takie, które nadal działa całkiem dobrze.

Po otwarciu złośliwego dokumentu prosi użytkownika o zezwolenie na wykonanie makra. Jeśli zostanie udzielone pozwolenie, skrypty makr po cichu pobierze prawdziwy ładunek dowolnego złośliwego oprogramowania przygotowanego przez złych aktorów odpowiedzialnych za atak.

Ten rodzaj wektora ataku może być używany do dystrybucji wszystkich rodzajów ładunków drugiego etapu, od trojanów i backdoorów po skrobaki informacji, rejestratory kluczy i oprogramowanie ransomware.

Władze ukraińskie nie wskazały żadnego konkretnego organu ani grupy, która ma skodyfikowaną nazwę, ale stwierdziły, że atak zawierał szereg wskaźników włamania, w tym domenę enterox.ru, a także adres IP i hostowaną na niej stronę PHP. .

Z badań przeprowadzonych przez zespół ds. Bezpieczeństwa ZDNet wynika, że nazwa domeny prawdopodobnie wskazywała, że atak jest powiązany z Gamaredon APT. Uważa się, że Gamaredon to sponsorowana przez państwo grupa hakerów, działająca w Rosji, która w przeszłości przeprowadzała ataki na ukraińskie sieci.

Kilka dni przed ogłoszeniem tego ataku ukraińskie władze poinformowały również, że rosyjscy złoczyńcy zaatakowali szereg różnych ukraińskich instytucji, w tym witrynę internetową Służby Bezpieczeństwa, przeprowadzając rozproszone ataki typu „odmowa usługi”.