Аналітичний дайджест кіберподій за липень

КЛЮЧОВІ ВИСНОВКИ

За даними Держспецзв’язку, з 24 лютого відбулося 825 атак на сайти в Україні. Інтенсивність нападів залишається високою протягом усієї війни — так, за ІІ квартал було здійснено 548 спроб злому ресурсів. ¹

Держспецзв’язку зазначає, що зловмисники не користуються способами злому, що важко відстежуються. А близько 60−70% спроб втручань припадало на прості фішингові розсилки.

90% всіх атак здійснюють військові хакери рф та білорусі, діяльність яких фінансується владою. ² На відміну від хакерських груп, пов’язаних з головним управлінням Генштабу міністерства оборони рф (ГРУ) – фактично російською військовою розвідкою, хакери зі Служби зовнішньої розвідки росії, як вважається, діють більш приховано. ³

У червні 2022 року СБУ попередила та нейтралізувала понад 140 кіберінцидентів та кібератак.⁴ А загалом з початку повномасштабної агресії рф СБУ нейтралізувала більш ніж 1,2 тис. кіберінцидентів і кібератак на інформаційні системи органів державної влади та критичної інфраструктури України. ⁵

Оперативний центр реагування на кіберінциденти Державного центру кіберзахисту Держспецзв’язку оприлюднив звіт за результатами роботи Системи виявлення вразливостей і реагування на кіберінциденти в ІІ кварталі 2022 року. ⁶

Загалом було опрацьовано 19 млрд подій, зібраних за допомогою засобів моніторингу, аналізу та передання телеметричної інформації про кіберінциденти та кібератаки. Кількість зареєстрованих та опрацьованих кіберінцидентів зросла до 64.

Основною метою хакерів є кібершпіонаж, порушення доступності державних інформаційних сервісів та навіть знищення інформаційних систем за допомогою програм-вайперів.

У II кварталі 2022 року зафіксовано істотне зростання активності хакерських груп щодо розповсюдження шкідливого програмного забезпечення; серед якого є як програми, що викрадають дані, так і ті, які спрямовані на знищення даних. У порівнянні з І кварталом 2022 року, кількість подій інформаційної безпеки (ІБ) у категорії «Шкідливий програмний код» зросла на 38%.

Більшість кіберінцидентів повʼязані з хакерськими угрупуваннями, що фінансуються урядом рф. Актуальні хакерські угруповання, які атакували інформаційні ресурси України:

• UAC-0010 (Gamaredon, Armageddon, PrimitiveBear);
• UAC-0056 (Lorec53, SaintBear, GraphSteal, GrimPlant);
• UAC-0028 (APT28, Fancy Bear, Iron Twilight, Sednit);
• UAC-0098;
• UAC-0082, UAC-0113.

У ІІ кварталі 2022 року основною мішенню хакерів із російської федерації були українські ЗМІ, Уряд та місцеві органи влади. ⁶

Після початку злочинної агресії проти України росія значно посилила ворожу кібернетичну діяльність проти країн ЄС та всього світу, що створює ризики побічних ефектів, непорозумінь та ескалації напруги в глобальному вимірі. Про це йдеться в Декларації високого представника ЄС від імені всіх країн європейської спільноти, яку оприлюднено 19 липня на сайті Європейської ради. ⁷

Одним з головних хактивістських угруповань, яке «збентежує» росію та її технології кібербезпеки, залишається Anonymous. Один з підрозділів Anonymous, хакери MeshSec Turkish Hacktivist Crew, загалом зламали 2785 російських веб-сайтів. ⁸

У своїх атаках міжнародна хакерська група Anonymous керується шістьма основними методами ⁹:

1. Злом баз даних.
2. Орієнтація на компанії, які продовжують вести бізнес у росії.
3. Блокування сайтів.
4. Підготовка новобранців.
5. Напад на медіа та streaming служб.
6. Пряме спілкування з росіянами.

УКРАЇНА У КІБЕРПРОСТОРІ

Міжнародна взаємодія

На цьогорічному Мадридському саміті Альянс оновив Комплексний пакет допомоги Україні. У сфері кібербезпеки НАТО приділятиме увагу розбудові можливостей України, наданні необхідного обладнання і підготовці персоналу, в результаті чого Україна повинна набути здатності захищати свою інфраструктуру від найсучасніших кібератак. ¹⁰

Держспецзв’язку та Урядовий офіс Республіки Словенія з інформаційної безпеки у сфері кіберзахисту підписали Меморандум про взаєморозуміння. Документ дасть можливість об’єднання зусиль для розроблення та розповсюдження нових технологій, які сприяють запровадженню безпечного глобального інформаційного простору; а також напрацювання спільних підходів у протистоянні кіберагресії. ¹¹

Державна служба спеціального зв’язку та захисту інформації підписала Меморандум про співробітництво щодо співпраці у сфері кібербезпеки з Агентством з кібербезпеки та безпеки інфраструктури Департаменту національної безпеки США (CISA). США разом з Україною є країнами, на які здійснюється найбільша кількість кібератак. Тому обмін досвідом та об’єднання зусиль у протистоянні кіберагресії дасть можливість обом державам значно ефективніше захищати власні інформаційні ресурси. ¹²

Фінансування кіберсфери

Уряд України надав 1.2 млрд грн на оновлення програмного забезпечення та інші заходи для створення безпечного кіберпростору. ¹

РОСІЯ У КІБЕРПРОСТОРІ

«Хакерські наміри» росіян

Група KillNet має намір атакувати найбільшого виробника зброї для США та НАТО Lockheed Martin Corporation (зокрема виробника американських РСЗВ HIMARS). ¹³

Мінцифри рф збирається легалізувати білих хакерів. ¹⁴

Кібершпигуни, пов’язані зі Службою зовнішньої розвідки Росії, здійснюють кібератаки на країни-члени НАТО, використовуючи хмарні сервіси, щоб уникнути викриття. ³

Послаблення кіберсфери

В росії у другому кварталі кілька разів оновлювався рекорд тривалості DDoS-атак. ¹⁵

Мінцифри росії обговорює з ІТ-компаніями виділення кібербезпеки в окрему галузь, оскільки інформаційна безпека, бувши частиною ІТ-індустрії, дає можливість профільним підприємствам користуватись передбаченими для галузі пільгами. ¹⁶

ВИЯВЛЕНІ АТАКИ

Кібератаки на Україну

Dos/DDos:

• IТ-інфраструктура компанії ДТЕК. ¹⁷
• тимчасово припинена робота офіційного вебпорталу Державної архівної служби України. ¹⁸
• Сайти «Преступности.НЕТ» та «Niklife» зазнали атаки. ¹⁹

Фішинг/ шкідливе ПЗ:

• кібератака UAC-0056 на державні організації України з використанням Cobalt Strike Beacon (розсилання листів з темою «Спеціалізована прокуратура у військовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування»); ²⁰
• атака групи UAC-0056 на державні організації України з використанням Cobalt Strike Beacon та тематики гуманітарної катастрофи; ²¹
• онлайн-шахрайство з використанням тематики «грошової компенсації»; ²²
• кібератака на державні організації України з використанням теми ОК «Південь» та шкідливої програми AgentTesla; ²³
• масове розповсюдження стілерів (Formbook, Snake Keylogger) та використання шкідливих програм RelicRace/RelicSource як засобу доставки; ²⁴
• кібератаки групи UAC-0010 (Armageddon) з використанням шкідливої програми GammaLoad.PS1_v2; ²⁵
• онлайн-шахрайство з використанням тематики «допомоги від Червоного Хреста»; ²⁶
• розроблений російським хакерським угрупуванням Turla фейковий додаток «Cyber Azov», який збирає інформацію про українців. ²⁷

Поширення фейків/заміна інформації:

• кібератаки з метою блокування роботи марафону «FreeДОМ»; ²⁸
• злом табло обмінника у Рівному; ²⁹
• нейтралізована мережа російських інтернет-агентів із 5 осіб, які «розганяли» через соцмережі деструктивні дописи; ³⁰
• кібератака на сервери та мережі радіостанцій TAVR Media та розповсюдження фейку про проблеми зі здоров’ям Президента України. ³¹

Злив інформації:

• знешкоджено злочинне угруповання, яке збувало дані щодо оборонних підприємств і спеціалізованих установ сфери зв’язку та захисту інформації, запобігши витоку оборонної інформації через даркнет; ³²
• російська хакерська група RaHDIt виклала у відкритий доступ дані про тисячі співробітників Головного управління розвідки військового відомства України; ³³
• український хакер розповсюджував викрадені дані про компанії у закритих хакерських форумах, які адмініструються із території рф. ³⁴

Інше:

• невідомі отримали доступ та видалили фейсбук-акаунт головреда «Преступности.НЕТ» та YouTube-канал видання. ³⁵

Кібератаки на росію

Dos/DDos:

Російський сайт компанії IKEA зазнав хакерської атаки. ³⁶

Зламано офіційний сайт Мінфіну рф. ³⁷

IT армією України у період з 27 червня до 24 липня було атаковано більш як 1550 російських онлайн-ресурсів ^{38, 39}:

• на сайтах держструктур та держорганів рф розміщено привітання з Днем Конституції України;
• сайт Роскосмосу;
• CRM системи;
• паралізовано роботу десятків тендерних майданчиків, зокрема найбільшого – Росэлторг (втрачено конфіденційні дані майже 500 тисяч користувачів);
• сайти більшості кінотеатрів рф;
• критично важливі онлайн-ресурси Міністерства закордонних справ рф;
• більше сотні онлайн-магазинів дронів та військторгів рф;
• телекомунікаційні послуги від Beeline та їхні онлайн-ресурси;
• російські ЗМІ.

Статистика атак від disBalancer (інструмент DDoS-атак Liberator) за перші п’ять місяців кібервійни ⁴⁰:

Deface та заміна інформації:

• повідомляється, що на сайті бєлгородського медцентру в розділі «лікування наркоманії та алкоголізму» українські хакери розмістили фото російських лідерів; ⁴¹
• хакери Anonymous повідомили про deface російських сайтів http://crmsdo.ru/, https://www.nichibo-motor.ru/, https://dennisya.ru/, http://www.risus-clinic.ru/;⁴²
• сайт співака Градського став рупором правди про війну в Україні (на головній сторінці можна побачити реальні втрати російських солдатів, заклики здатися в полон та проукраїнські кліпи); ⁴³
• сайт постачання продуктових товарів для потреб Іркутської філії Газпрому https://gazprompitanie38.ru/ зламано Anonymous; ⁴⁴
• YourAnonSpider зламали захищену хост-систему https://secure-host.net/ ;⁴⁵
• NB65 зламали сайт ТОВ «Лисьвенського механічного заводу»; ⁴⁶
• турецькі хактивісти зламали російські сайти https://zhksochi-park.ru/ та https://anatomia-mebeli.ru/;⁴⁷
• YourAnonSpider провели атаку на домен http://putin-vladimir.ru/;⁴⁸
• YourAnonSpider зламали сайт https://ronnon.ru/index.html.⁴⁹

Злив інформації:

• білоруські кіберпартизани оприлюднили особисті дані вагнерівців; ⁵⁰
• Abatu виклали в мережу 50 тис. документів (600 МБ даних) від російського Арктичного й антарктичного науково-дослідного інституту; ⁵¹
• у мережі пропонують купити базу даних клієнтів московського ЦУМу (ПІБ, телефон, куплений бренд, іноді email близько 50 тис. осіб); ⁵²
• проект squad303 оприлюднив декілька сотень телефонних номерів та електронних адрес депутатів російської думи. ⁵³