Портал правительственных документов Украины подвергся кибератаке

В конце февраля 2021 года правительство Украины сообщило о кибератаке на государственную инфраструктуру обмена документами. Центр кибербезопасности страны заявил, что «методы и средства» атаки предполагают участие «хакерской шпионской группы», происходящей из России.

Атака была нацелена на систему электронного взаимодействия органов исполнительной власти - украинский веб-портал, используемый для обмена документами между государственными органами и органами государственной власти.

Украинские власти обнаружили загруженные на портале вредоносные документы, содержащие макросы. В этом нет ничего необычного или нового подхода к атаке, но, к сожалению, он все еще работает достаточно хорошо.

Как только вредоносный документ был открыт, он попросит пользователя разрешить выполнение макроса. Если будет дано разрешение, макросценарии незаметно загрузят реальную полезную нагрузку любого вредоносного ПО, которое подготовили злоумышленники, стоящие за атакой.

Этот вид вектора атаки может использоваться для распространения всех видов полезной нагрузки второго уровня, от троянских программ и бэкдоров до сборщиков информации, клавиатурных шпионов и программ-вымогателей.

Украинские власти не назвали какой-либо конкретный орган или группу с кодифицированным названием, но заявили, что атака содержала ряд индикаторов компрометации, включая домен enterox.ru, а также IP-адрес и размещенную на нем страницу PHP. .

На основании исследования, проведенного группой безопасности ZDNet, доменное имя, вероятно, указывало на то, что атака связана с APT Gamaredon. Gamaredon считается спонсируемой государством группой хакеров, действующих за пределами России, которые в прошлом атаковали украинские сети.

За несколько дней до объявления об этой атаке украинские власти также сообщили, что российские злоумышленники атаковали ряд различных украинских учреждений, включая веб-сайт Службы безопасности страны, с помощью распределенных атак типа «отказ в обслуживании».