Всі новини

Об'єкти критичної інфраструктури України – одна з основних мішеней російських хакерів під час війни в Україні. З метою покращення знань фахівців з інформаційної безпеки та надання практичних навичок, які допоможуть інституціям бути ефективними у побудові та управлінні кіберзахистом, Держспецзв'язку провела другий освітній курс для держслужбовців категорії «Б».

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, виявила та дослідила розповсюдження зловмисниками листів з використанням електронної поштової адреси cert-ua@ ukr . net. Листи з темою «Рекомендації CERT-UA з налаштувань програм MS Office» містять вкладений файл «ВНУТРІШНІ КІБЕРЗАГРОЗИ.chm» нібито від імені CERT-UA.

Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено PPT-документ "daewdfq342r.ppt", що містить макрос та зображення-мініатюру з емблемою Національного університету оборони України імені Івана Черняхівського. 

 Від учасника інформаційного обміну отримано електронний лист з темою "Помічена підозріла активність @UKR.NET" та додатком у вигляді PDF-файлу "Попередження про безпеку.pdf" надісланий, начебто, від імені технічної підтримки UKR.NET (електронна адреса відправника: "account.support.0@ukr.net").

 Від учасника інформаційного обміну отримано оперативну інформацію щодо виявлення мережевих з'єднань між інформаційно-комунікаційною системою (ІКС) державної організації України та інфраструктурою, що асоціється з угрупуванням APT28.

Урядовою командою реагування на комп'ютерні надзвичайні події CERT-UA виявлено вебсайт hxxps://www.ukrainianworldcongress[.]info/, що копіює англійську версію вебресурсу міжнародної неурядової організації "Світовий конґрес українців" (легітимна сторінка hxxps://ukrainianworldcongress[.]org/).

 Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено XLS-документи "PerekazF173_04072023.xls" та "Rahunok_05072023.xls", що містять як легітимний макрос, так і макрос, який здійснить декодування, забезпечення персистентності та запуск шкідливої програми PicassoLoader.

Загальна інформаціяУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA виявлено HTML-файли, які імітують вебінтерфейс поштових сервісів (зокрема, UKR.NET, Yahoo.com) та реалізують технічну можливість ексфільтрації введених жертвою автентифікаційних даних за допомогою HTTP POST-запитів. При цьому, передавання викрадених даних здійснюється за допомогою заздалегдіь скомпрометованих пристроїв Ubiquiti (EdgeOS).

Загальна інформаціяіУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA вживаються заходи з протидії кіберзагрозам. Так, з 2022 року за ідентифікатором UAC-0024 відслідковується активність, що полягає у здійсненні цільових кібератак, спрямованих проти сил оборони з метою шпигунства із застосуванням шкідливої програми CAPIBAR (Microsoft: "DeliveryCheck", Mandiant: "GAMEDAY"). 

 Загальна інформаціяУрядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA на виконання Закону України "Про основні засади забезпечення кібербезпеки України", вживаються організаційно-технічні заходи із запобігання, виявлення та реагування на кіберінциденти і кібератаки та усунення їх наслідків.