Російське хакерське угруповання Armageddon нарощує активність в ІТ-системах державних органів України, тому Держспецзв’язку просить, зокрема, військовослужбовців ЗСУ негайно звертатися до Центру кібербезпеки, якщо на комп’ютері відсутній засіб захисту класу EDR (не “антивірус”) для встановлення відповідного програмного забезпечення.
“Фахівці урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, проаналізували актуальні тактики, техніки та процедури, що їх використовують хакери одного з найактивніших і найнебезпечніших російських хакерських угруповань – UAC-0010 (Armageddon/Gamaredon). Нагадаємо, до нього належать колишні “офіцери” з СБУ в АР Крим, які в 2014 році зрадили Батьківщину і почали прислужувати фсб росії”, – ідеться в прес-релізі Держспецзв’язку, пише Iнтерфакс.
Як повідомляється, основним завданням угруповання є кібершпигунство щодо Сил безпеки і оборони України. Також відомо щонайменше про один випадок здійснення деструктивної діяльності на об’єкті інформаційної інфраструктури.
За даними CERT-UA, кількість одночасно інфікованих комп’ютерів, які переважно функціонують у межах інформаційно-комунікаційних систем державних органів, може сягати кількох тисяч.
“Як атакують. Як вектор первинної компрометації хакери здебільшого використовують електронні листи та повідомлення в месенджерах (Telegram, WhatsApp, Signal), які розсилають через заздалегідь скомпрометовані облікові записи. Найпоширеніший спосіб – надсилання жертві архіву, що містить HTM або HTA-файл, відкриття якого ініціює ланцюг інфікування”, – пояснюють кіберфахівці механізм атаки противника.
Як повідомляється, для розповсюдження шкідливих програм передбачено можливість ураження знімних носіїв інформації, легітимних файлів (зокрема, ярликів), а також модифікацію шаблонів Microsoft Office Word, що забезпечує інфікування всіх створюваних на ЕОМ документів через додавання відповідного макросу.
“Після початкового ураження зловмисники можуть викрадати файли з розширеннями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb протягом 30-50 хвилин – здебільшого із застосуванням шкідливих програм GAMMASTEEL. Комп’ютер, що функціонує в ураженому стані близько тижня, може налічувати від 80 до 120 і більше шкідливих (інфікованих) файлів, без урахування тих файлів, які будуть створені на знімних носіях інформації, що будуть підключатися протягом цього періоду до ЕОМ”, – попереджають спеціалісти CERT-UA.
Інші деталі про кібератаки угруповання, рекомендації щодо захисту – на сайті CERT-UA за посиланням https://cert.gov.ua/article/5160737.
“Також фахівці урядової команди реагування на комп’ютерні надзвичайні події України застерігають військовослужбовців ЗСУ: якщо на комп’ютері відсутній засіб захисту класу EDR (не “антивірус”) – негайно зверніться до Центру кібербезпеки ІТС (в/ч А0334; email: csoc@post.mil.gov.ua) для встановлення відповідного програмного забезпечення”, – йдеться в повідомленні Держспецзв’язку.
“У групі підвищеного ризику – ЕОМ, розміщені за межами периметра захисту, зокрема ті, які для доступу до інтернету використовують термінали Starlink. Відсутність цієї технології захисту підвищує ймовірність кібератак як на окремий комп’ютер, так і на всю інформаційно-комунікаційну систему (мережу) підрозділу. У разі виявлення факту ураження за наведеними CERT-UA індикаторами – невідкладно повідомляйте Центр кібербезпеки ІТС”, – наголошують у прес-релізі.