Кіберновини на 7 липня

В Україні  

Кібератака UAC-0056 на державні організації України з використанням Cobalt Strike Beacon (CERT-UA#4914)

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію щодо розповсюдження 05.07.2022 електронних листів з темою «Спеціалізованої прокуратури увійськовій та оборонній сфері. Інформація щодо наявності вакансій та їх укомплектування» та вкладенням у вигляді XLS-документу «Інформація щодо наявності вакансій та їх укомплектування.xls». Документ містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу «write.exe». Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу «%PROGRAMDATA%\TRYxaEbX», його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ «Check License» в гілці “Run” реєстру Windows. Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon. З середнім рівнем впевненості виявлену активність асоціюємо з діяльністю групи UAC-0056. ^[1]

Запорізькій редакції Inform.zp.ua знову погрожують з росії кримінальним переслідуванням

Запорізька редакція inform.zp.ua отримала з росії за останній тиждень два листи з віршованими погрозами. Так, лист від користувачки «Ельміри Афанасьєвої» з темою «Дуже важливо!» надійшов на редакційну пошту з російського поштовика inbox.ru 1 липня. В ньому, знову віршами, авторка погрожувала співробітникам редакції кримінальною відповідальністю за їхню журналістську діяльність. В листі, зокрема, йшлося: «Російська армія – визволителі, проводять операцію, щоб вас урятувати. А вам, пропагандисти-поширювачі, кримінальної відповідальності не уникнути!»  Вже 4 липня редакція отримала листа від «Яни Власової» з темою «Нагадуємо». В повідомленні, надісланому також з російського поштовика inbox.ru, авторка «нагадувала» про таке: «V –  значить «перемога», Z – значить «за нами!» Ваша пісенька виконана пропагандистськими брехливими ротами!» ^[2] 

НАТО посилить кіберзахист України

Нові зобов’язання Альянс взяв на тлі невпинних хакерських атак Росії на енергетичний сектор, банківську систему та інші критичні для економіки України об’єкти. На цьогорічному Мадридському саміті Альянс оновив Комплексний пакет допомоги  Україні. У сфері кібербезпеки НАТО приділятиме увагу розбудові можливостей України, наданні необхідного обладнання і підготовці персоналу, в результаті чого Україна повинна набути здатності захищати свою інфраструктуру від найсучасніших кібератак. Важливим напрямком співпраці має стати сумісна протидія і припинення діяльності осіб, які проживають на території країн-членів НАТО та надають підтримку гібридній агресії РФ у кіберсфері. Незабаром очікується також приєднання України до Об’єднаного центру передових технологій з кібероборони НАТО в статусі постійного учасника. Україна подала офіційний запит на приєднання до Центру ще 4 серпня 2021 року, а 4 березня 2022 року заявку України одностайно підтримали всі члени Керівного комітету організації. Україна активно співпрацює з НАТО у сфері кібербезпеки з 2014 року і досягла значних успіхів. Як зазначили у Пентагоні, від початку великої війни жодна з численних російських хакерських атак не мала критичного впливу на українську інфраструктуру. ^[3]

Робота СБУ на Одещіні

На Одещині кіберфахівці СБУ нейтралізували мережу російських інтернет-агентів із 5 осіб, які «розганяли» через соцмережі деструктивні дописи. ^[4]

У росії  

Сайт співака Градського став рупором правди про війну в Україні

Сайт покійного народного артиста росії, співака та композитора Олександра Градського завдяки українським хакерам став рупором правди про війну в Україні. На головній сторінці можна побачити реальні втрати російських солдат, заклики здатися в полон та проукраїнські кліпи. Ймовірно, за цим стоїть мешканець міста Дніпро Володимир Тиминський, який числиться в розділі «автори» і є єдиним українцем в списку. З оновленою стрічкою можна ознайомитися на сайті покійного Градського. Нові дописи на сторінці з’являються кожні 3-5 днів. Зазвичай автор вказує актуальні дані втрат російських військових та їхньої техніки. Також в повідомленнях завжди є заклик здаватися в полон та номер телефону Міноборони України. «Практично єдиний спосіб залишитися живим для воїнів РФ – здатися в полон!» – йдеться в дописах. Іноді статистику “розбавляють” розширеними новинами про поразки росармії та інші проблеми російської федерації на полі бою.

Окрім авторських текстів, хакер розміщує на сайті антивоєнні кліпи та пісні російських гуртів, рекламу, записи розмов з полоненими окупантами та інші проукраїнські відео. Крім цього, частина головної стрічки виокремлена під цитати Олександра Градського, які несуть в собі політичний підтекст та незгоду з діючим режимом. ^[5]

Російський сайт компанії IKEA зазнав хакерської атаки

«Вчора вони дійсно відкрилися, почали виконувати замовлення, хтось встиг, а хтось уже ні. Почалася атака ботів і поклала сайт: і російський, і зарубіжний. Тобто хтось цілеспрямовано влаштував атаку хакерів», — зазначив він. За словами співрозмовника агентства, цю проблему планується вирішити протягом кількох днів.  Онлайн-розпродаж товарів для дому від компанії IKEA стартував у ніч з 4 на 5 липня 2022 року.  При цьому користувачі, які спробували додати до кошика вибрані товари, зіткнулися зі збоєм. Пізніше на сайті IKEA з’явилося повідомлення про те, що оформлення покупки на сайті та через Центр підтримки клієнтів тимчасово недоступне «з технічних причин». 15 червня IKEA оголосила про продаж всіх чотирьох фабрик у Росії. Наприкінці червня компанія почала повідомляти торгові центри, де знаходяться її магазини, про намір достроково розірвати договори оренди. ^[6]

У світі  

Британська ювелірна корпорація виплатила $7,5 мільйона викупу російським хакерам

Хакерська група Conti, яку пов’язують з рф, зламала клієнтську базу британської ювелірної корпорації Graff Diamonds та змусила виплатити $7,5 мільйонів за те, щоби дані про високопоставлених клієнтів не потрапляли в широкий доступ. «Британська ювелірна корпорація Graff Diamonds виплатила $7,5 мільйонів у біткойнах російському хакерському угрупованню після витоку даних про відомих клієнтів ювелірної компанії», — зауважує видання Bloomberg із посиланням на судову справу, відкриту в Лондоні. Уточнюється, що Graff Diamonds подала до суду на свого страховика за збитки через дії хакерів. У корпорації заявили, що виплата має бути компенсована згідно з їхнім полісом. Натомість страхова компанія відмовляється виплачувати ці збитки. Атака на ювелірну корпорацію сталася в вересні 2021 року, однак про її деталі стало відомо лише зараз. Напад здійснило хакерське угруповання Conti, яке пов’язують з росією. Зокрема, була зламана й частково оприлюднена база з іменами клієнтів, у тому числі, даними про королівські сім’ї Саудівської Аравії, ОАЕ й Катару. Хакери вимагали від ювелірної корпорації викуп в розмірі $15 мільйонів за те, щоби припинити публікації вкрадених даних. Однак ювелірна компанія заявила, що може заплатити лише половину, і сума в розмірі $7,5 мільйонів (118 біткойнів за поточним курсом) була переведена 3 листопада. Натомість наступного дня ціна біткойна різко впала. Наразі невідомо, чи встигли хакери провести готівкові операції, оскільки вже 4 листопада, вартість 118 біткойнів становила $2,3 мільйони доларів. ^[7]