Кіберновини на 21 липня

В Україні 

Кібератака на державні організації України з використанням теми ОК «Південь» та шкідливої програми AgentTesla (CERT-UA#4987)

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено файл «Доповідь_050722_4.ppt», що містить зображення-мініатюру, на якій згадується оперативне командування «Південь». У випадку відкриття документу та активації макросу останній забезпечить створення файлів «gksg023ig.lnk» та «sgegkseg23mjl.exe», а також виконання LNK-файлу за допомогою rundll32.exe, що, в свою чергу, призведе до запуску згаданого EXE-файлу. Виконуваний файл є .NET-програмою, обфускованою за допомогою ConfuserEx, що здійснює завантаження JPEG-файлу «thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg», пошук відповідного офсету, дешифрування та декомпресію даних і запуск отриманої в результаті .NET-програми MCMDiction.exe (дата компіляції: 2022-07-08). Надалі, після ряду перетворень (Gzip, AES, base64, XOR), в тому числі, із застосуваннями стеганографії, на комп’ютері буде виконано шкідливу програму-стілер AgentTesla (дата компіляції: 2022-07-06). Зважаючи на ім’я та контент-приманку PPT-документу, припускаємо, що атаку було спрямовано на державні організації України. ^[1]

Український хакер розповсюджував інформацію про компанії у форумах, які адмініструють у рф

У відомстві розповіли, що чоловік створював та розповсюджував шкідливе програмне забезпечення для викрадення персональних даних, лог-файлів входу до комп’ютерних мереж та аккаунтів банківських систем.За допомогою вірусів-викрадачів, він отримував віддалені доступи до мереж компаній, в тому числі іноземних, та інформації з обмеженим доступом, яка в них циркулює. Викрадені дані чоловік збував у закритих хакерських форумах, які адмініструються із території рф. Під час обшуку за місцем проживання особи правоохоронці вилучили комп’ютерну техніку, носії інформації, банківські картки та мобільні термінали. ^[2]

Російські хакери збирають дані українців за допомогою фейкового додатка «Азов»

Російське хакерське угрупування Turla, яке пов’язують з ФСБ, нещодавно розмістило програму для Android на домені, який мімікрує під український полк «Азов». Як повідомив Google, додаток нібито має атакувати російські держсайти, проте насправді лише збирає інформацію про українців. які його встановили. Це перший відомий випадок, коли Turla розповсюджує шкідливе програмне забезпечення, пов’язане з Android. Програма не розповсюджувалася через Google Play Store, а розміщувалася на приватному домені. Поширенням додатка займались в месенджерах і соціальних мережах. Фейковий додаток «Азову» поширюється під виглядом програми для виконання атак типу «відмова в обслуговуванні» (DoS) проти ряду російських сайтів. Однак «DoS» складається лише з одного запиту GET до цільового сайту, чого недостатньо, щоб бути ефективним. При цьому у Google вважають, що розповсюдження фейкового додатка не мало серйозного впливу на користувачів Android і що кількість встановлень була незначною. ^[3]

У росії

В росії у другому кварталі кілька разів оновлювався рекорд тривалості DDoS-атак

На додаток до збільшення тривалості атаки хакерів стали більш професійними і підготовленими. За даними «Лабораторії Касперського», середня тривалість хакерських DDoS-атак у травні зросла до 57 годин, що на 17 годин більше, ніж у квітні. У червні тривалість атак стала меншою, але все одно майже на порядок більшою за показник минулого року, коли найдовша атака тривала 6,5 години. Протягом кварталу кілька разів оновлювався рекорд тривалості атак, який досяг майже 29 днів у травні. За даними звіту «Лабораторії Касперського», головною метою хакерів у другому кварталі були підприємства фінансового сектора, хоча їхня частка знизилася з 70 % у квітні до 37 % у червні. Водночас різко зросла частка державних організацій серед постраждалих від атак хакерів, на які у червні припало 38% усіх DDoS-атак у росії. Як зазначив експерт з кібербезпеки «Лабораторії Касперського» Олександр Гутніков, з початку 2022 року частка участі в DDoS-атаках хакерів-аматорів, які висловлюють свою позицію, поменшала, і все частіше фахівці компанії стали фіксувати атаки, підготовлені професіоналами. У разі відсутності доступу до сайту компанії, він опускається у видачі «Яндекса» або будь-якої іншої пошукової системи, або може зникнути з видачі взагалі, якщо це триває тривалий час, каже засновник і гендиректор Qrator Labs Олександр Лямін. У свою чергу, в «Яндексі» повідомили, що донавчають алгоритми, щоб сайти мали більше часу на відновлення роботи. За словами керівника групи аналітики центру моніторингу та протидії кібератакам IZ:SOC компанії «Інформзахист» Ільназа Гатаулліна, зараз велика кількість компаній займається бізнесом в інтернеті і за великих обертів «навіть десять хвилин простою призводять до колосальних збитків». ^[4]

У світі

Війна росії проти України супроводжується сплеском кібератак у світі – ЄС

Після початку неспровокованої та злочинної агресії проти України росія значно посилила ворожу кібернетичну діяльність проти країн ЄС та всього світу, що створює ризики побічних ефектів, непорозумінь та ескалації напруги в глобальному вимірі. Про це йдеться в Декларації високого представника ЄС від імені всіх країн європейської спільноти, яку оприлюднено 19 липня на сайті Європейської ради. У декларації йдеться, що ЄС засуджує кібернетичну атаку проти України від 14 січня 2022 року, а також атаку на супутникову мережу KA-SAT, відповідальність за яку покладається на російську федерацію. «Нещодавні DDoS-атаки проти кількох країн-членів ЄС та партнерів, які були вчинені проросійськими хакерськими угрупованнями, є ще одним прикладом підвищення рівня кібернетичних загроз, які фіксуються ЄС та його країнами-членами. Ми рішуче засуджуємо таку неприйнятну поведінку в кібернетичному просторі та висловлюємо солідарність з усіма країнами, які стали жертвами таких атак», – зазначається в декларації. Країни ЄС висловили намір провести розслідування та відповісти на ці ворожі кібернетичні дії, які спрямовані проти міжнародного миру, безпеки та стабільності, включно з безпекою Європейського Союзу та його країн-членів, безпекою європейських демократичних інституцій, громадян, бізнесу та громадянського суспільства. ^[5]

Хакери змогли зламати iOS 15 та представили інструмент для цього

Хакери з кіберугруповання The Odyssey Team розповіли, що їм вдалося створити перший інструмент для джейлбрейка, тобто. злому iOS 15. ОС вдалося зламати через рік після релізу. Для порівняння, iOS 14 змогли зламати за тиждень після презентації. Учасники The Odyssey Team повідомили, що змогли досягти хорошого прогресу в розробці софту для злому iOS 15 для подальшої кастомізації системи та встановлення потрібних користувачеві програм. Інструмент називається Cheyote. Програма буде доступна всім бажаючим, але все ж таки обмеженою – її зможуть встановити власники айфонів з версіями iOS 15.0 – 15.1.1. Ці оновлення виходили до листопада 2021 року. Іншим користувачам доведеться поки зачекати. ^[6]