03.05.2022

Аналітичний дайджест кіберподій за квітень

 

Аналітичний дайджест кіберподій за квітень

Foto — pixabay.com

 

КЛЮЧОВІ ВИСНОВКИ

Від початку повномасштабного вторгнення Росії на територію України вже зафіксовано 430 кібератак. Для порівняння – торік їх було 207. Урядові сайти, екосистема продуктів «Дія», енергетична сфера та фінансовий сектор знаходяться під найбільшою увагою хакерів [1].

Понад половина усіх атак були здійснені з метою збору інформації або розповсюдження шкідливого програмного коду. Найпопулярнішими методами кібератак російських військових хакерів є:

  • розсилання шкідливого програмного забезпечення, яке спрямоване на викрадення даних або знищення інфраструктури;
  • фішингові розсилання, внаслідок яких вони можуть отримати облікові дані для доступу до інформаційних систем;
  • використання відомих вразливостей.

Російські хакери почали здійснювати дедалі більше кібератак, спрямованих проти звичайних українців. Традиційний підхід рф у питаннях «інформаційної війни» – це поєднання кіберактивностей із інформаційно-психологічними операціями [2].

У звіті Microsoft про кібератаки росії проти України [3] сказано, що рф почала нарощувати кібератаки на Україну з березня 2021 року з метою розвідки та активізувала їх напередодні вторгнення. Було розгорнуто щонайменше 8 руйнівних сімейств зловмисного ПЗ. Крім того, російські хакерські атаки часто збігаються в часі з бойовими діями окремих підрозділів проти конкретних установ чи об’єктів.

Проте, варто відмітити, що за всієї своєї активності російські кіберзлочинці жодного разу не завдали значної шкоди українцям. Російські кібернаступальні операції на Україну, ймовірно, досягли свого максимального потенціалу. Вони вже продемонстрували всі доступні інструменти та технології. Завдяки санкціям російські хакери не зможуть розвиватись так, як вони розвивались раніше [4].

Також наразі зламано більше ніж 80 баз даних, які є критичними для РФ, це бази даних громадян, бізнесу, досить сенситивні дані [5].

Значним посиленням української сторони в кібервійні є залучення багатьох іноземних хакерських рухів, які координують свої атаки на РФ з Україною. Вони не афішують діяльність і уникають зайвої уваги, але при цьому взаємодіють один з одним [6].

До п’ятірки угрупувань, які здійснили найбільше кібератак на критичну інформаційну інфраструктуру України, увійшли хакери, діяльність яких пов’язують із країною-агресором або співучасником війни проти нашої держави – білоруссю [7].

Зважаючи на всенаростаючий санкційний тиск, який завдав колосального удару російському IT і телекому, Путін видав указ про створення міжвідомчої комісії, відповідальної за «технологічний суверенітет» російського інформаційного простору, значить рф готується до залізної завіси в цифровому середовищі [8].

 

КІБЕРАТАКИ НА УКРАЇНУ

Дефейс/заміна інформації:

  • Пошкодження сайту Управління Держпраці в Кіровоградській області та розміщення агітації за «дружбу» з Росією і так звану «спецоперацію» [9].
  • Розповсюдження фейкового відео з логотипом BBC News щодо «відповідальності» України за ракетну атаку на залізничний вокзал Краматорська 8 квітня [10].
  • Злом сайту донецьких залізниць у «ДНР» кібервійськами України (на тлі фото з руйнуваннями та жертвами агресії російських загарбників, послання для бойовиків) [11].
  • Злом запорізького молодіжного студентського сайту «Пороги» та розміщення російської пропаганди [12].
  • Створення фейкового аналогу чат-боту СБУ [13].
  • Зламано номер гарячої лінії військової бригади [14].

Dos/DDos:

  • Черкаський інтернет-провайдер «McLaut» [15].
  • Сайт «Рівне вечірнє» (158 з початку повномасштабної війни) [16].
  • Видання «Детектор медіа» [17].
  • Сайт LIGA.NET [18].
  • Cайт Львівської обласної військової адміністрації [19].
  • Сайт видання DOU [20].
  • Cервіси онлайн-продажу та лінія підтримки Укрзалізниці [21].
  • Онлайн-магазин Укрпошти [22].

Фішинг/ шкідливе ПЗ:

  • Кібератаки на державні організації України з використанням експлойту для XSS вразливості в Zimbra Collaboration Suite та шкідливої програми IcedID [23, 24].
  • Масштабна кібератака групи Sandworm на енергетичний сектор України з використанням шкідливих програм Industroyer2 (попереджено) [25].
  • Імітація ресурсу телеканалу «Україна 24»: «отримання грошової допомоги від країн ЄС» [26]
  • SMS-повідомлення: «виплати матеріальної допомоги вимушеним переселенцям» [27]
  • Кібератака на державні організації України з використанням теми «Азовсталі» та шкідливої програми Cobalt Strike Beacon [28].
  • Кібератака групи UAC-0056 з використанням шкідливих програм GraphSteel і GrimPlant та тематики COVID-19 [29].
  • Кібератака групи UAC-0098 на державні органи України із застосуванням фреймворку Metasploit (розсилання електронних листів із темою «Указ Президента України No 576/22 про безпрецедентні заходи безпеки») [30].

Інше:

  • Розповсюдження фейків про нібито злом рухомого рядка під час ефіру українського телемарафону і розповсюдження в ньому повідомлень про «вбивство президента» та вимоги «скласти зброю» [31]
  • Погрози від російських хакерів NoName волинським медіа та запорізькому сайту 061.ua [32, 33].

 

КІБЕРАТАКИ НА РОСІЮ

IT ARMY of Ukraine:

У період з 11 квітня по 1 травня було атаковано близько 450 російських онлайн-ресурсів [34],[35],[36]:

  • Національна система маркування товарів
  • Система для стягнення оплати за проїзд вантажними автомобілями масою від 12 тонн
  • Сервіси онлайн-бухгалтерії
  • Платформи онлайн-телебачення
  • Система ветеринарної інспекції
  • Онлайн-сервіси купівлі авіаквитків
  • Оператори фіксальних даних
  • Системи подачі електронної звітності (зокрема 1С)
  • Тендерні майданчики
  • Сєвєрсталь
  • Онлайн-сервіси замовлення їжі

Anonymous:

Станом на 21 квітня уже понад 6 ТБ і 6 мільйонів російських документів і електронних листів було оприлюднено Anonymous після оголошення ними кібервійни злочинному режиму Кремля. [37] Цілі хакерів Anonymous та пов’язаних з ними угрупувань за останні три тижні:

  • російська фірма, яка надає послуги нафтогазових родовищ, Technotec (витік 440 ГБ) [38].
  • 14Gazprom Linde Engineering (витік 728 ГБ) [39].
  • ПСКБ, петербурзький соціальний комерційний банк (витік 542 ГБ) [40]
  • Gazregion, будівельна компанія, клієнтом якої є «Газпром» (витік 222ГБ) [41]
  • Neocom Geoservice, геологічна компанія, що забезпечує роботу «Газпрому» (витік 107 ГБ) [42]
  • Synesis Surveillance, система спостереження, пов’язана з білоруським урядом (витік 1,2 ГБ) [43]
  • ГУОВ та ЦБ, пов’язане з Міноборони рф (витік 9,5 ГБ) [44]
  • Tendertech, фінансова фірма, серед клієнтів якої є російські банки (витік 160 ГБ) [45]
  • Sawatzky, компанія з управління нерухомістю (витік 432 ГБ) [46]
  • Worldwide Invest, інвестиційна компанія, пов’язана з російською залізницею (витік 130 ГБ) [47]
  • Метроспецтехніка, постачальник «кожного метро в росії» (отримано доступ до системи) [48]
  • Accent Capital, російська інвестиційна компанія, що займається нерухомістю (витік 211 ГБ) [49]
  • Enerpred, найбільший виробник гідравлічного обладнання в росії (витік 432 ГБ) [50]
  • Російське космічне агентство, місія Luna Resource (витік документації) [51]
  • російський митний брокер АЛЕТ для для компаній паливно-енергетичної промисловості (витік 1.1 TБ) [52].
  • Велику енергокомпанію росії «Електроцентромонтаж (витік 1,7 ТБ) [53].

Інше:

  • Підвідомчий сайт МНС росії повідомив про злом після публікації рекомендацій «на випадок ядерного удару у відповідь з боку НАТО» [54] .
  • Від невідомих кіберактивістів отримано дані російського пропагандиста Соловйова [55].
  • Зламано сайт Псковської єпархії, розміщено фото злочинів з Бучі [56]

 

КІБЕРАТАКИ В СВІТІ

Ransomware. У квітневому зверненні до приватної галузі ФБР попередило органи місцевого самоврядування та державні служби, що програми-вимагачі, швидше за все, будуть «обтяжувати» їхні можливості, якщо цього не запобігти . При цьому ФБР не рекомендує платити викуп. Оплата не гарантує відновлення файлів. Це також може спонукати супротивників націлюватися на інші організації, заохочувати інших злочинців брати участь у розповсюдженні програм-вимагачів та/або фінансувати незаконну діяльність [57].

Guidepoint Security. Згідно зі звітом Guidepoint Security, тенденції використання програм-вимагачів у 2022 році, як і в попередні роки, продовжують тенденцію до того, що програми-вимагачі є однією з найвпливовіших і найпоширеніших загроз, з якими щодня стикаються державний та приватний сектори. Тенденції показують, що західні країни страждають частіше за інші. Дуже зрозуміло, що країни, які підозрюються у зв’язках із групами-розробниками програм-вимагачів, включаючи країни колишнього Радянського Союзу, Китай і Північну Корею, мають набагато менше жертв, ніж інші країни. Деякі галузі критичної інфраструктури, такі як фінанси, інформаційні технології та охорона здоров’я, продовжують опинятися в топ-10 таких, які постраждали від програм-вимагачів. Якщо порівняти дані за 2021 і 2022 роки, 2022 рік вже сьогодні показує зростання у цьому напрямку [58].

Cyclops Blink Malware. Федеральне бюро розслідувань США відібрало контроль над тисячами маршрутизаторів і пристроїв брандмауера у російських військових хакерів, викравши ту саму інфраструктуру, яку московські шпигуни використовували для зв’язку з пристроями. Цільовий ботнет контролювався за допомогою шкідливого програмного забезпечення під назвою Cyclops Blink, яке агентства кіберзахисту США та Великобританії публічно приписували наприкінці лютого «Sandworm», нібито одній із хакерських команд російської військової розвідки, яку неодноразово звинувачували у здійсненні кібератак [59].

Microsoft. Microsoft відслідкувала атаки, спрямовані на українські організації від Strontium, російської злочинної групи, яка пов’язана з ГРУ, яку Microsoft відстежувала протягом багатьох років. Strontium використовувала цю інфраструктуру для націлювання на українські інституції, включаючи медіа-організації. Їх злочинна діяльність також було спрямована на урядові установи та аналітичні центри в США і ЄС, які займаються зовнішньою політикою. Strontium намагалась встановити довгостроковий доступ до систем своїх цілей, забезпечити тактичну підтримку фізичного вторгнення та вилучити конфіденційну інформацію [60].

Hydra. Міністерство юстиції США (DOJ) і німецька федеральна поліція успішно припинили діяльність російського сервісу Hydra, який в минулому році був виконавцем майже 80% усіх операцій з криптовалютою, пов’язаних з Darknet. Разом із закриттям серверів Hydra Міністерство юстиції також висунуло кримінальні обвинувачення проти жителя росії Дмитра Павлова за змову з метою розповсюдження наркотиків та відмивання грошей, пов’язану з його роботою та адмініструванням серверів, які використовуються для роботи Hydra. Павлов нібито є адміністратором серверів Hydra. Вилучено понад 34 мільйони доларів США в біткойнах. На форумі було понад 17 млн облікових записів користувачів і 19 000 облікових записів продавців. Німецька влада стверджує, що магазин мав найбільший грошовий потік. Лише за 2020 рік він набрав понад 1,23 млрд доларів США. Сервіс працює з 2015 року, він отримав приблизно 5,2 мільярда доларів криптовалюти, повідомляє Міністерство юстиції США [61].

Darknet. У Darknet з’явились нові сервіси для реалізації реквізитів скомпрометованих платіжних карток: Bankir Shop пропонує понад 130 000 скомпрометованих платіжних карток, YESBRO Shop пропонує понад 150 000 скомпрометованих платіжних карток. Магазин є альтернативою магазину Wizzard Dump. Обидва магазини доступні через версії WEB або TOR.

 

Глобальний центр взаємодії в кіберпросторі (GC3) співпрацює з компаніями, правоохоронними та дослідницькими організаціями для нейтралізації кіберзлочинності.