Кіберновини на 28 квітня

В УКРАЇНІ

Microsoft оприлюднила звіт про кібератаки Росії проти України

27 квітня компанія оприлюднила звіт, у якому детально описані кібератаки і те, що компанія зробила, щоб допомогти захистити Україну.  Як сказано у звіті Microsoft, рф почала нарощувати кібератаки на Україну з березня 2021 року з метою розвідки і активізувала їх напередодні вторгнення. В мережах було розгорнуто щонайменше вісім руйнівних сімейств зловмисного ПЗ, зокрема одне, призначене для промислових систем контролю. Серед сімейств програм, запущених проти України — WhisperGate, FoxBlade, DesertBlade і CaddyWiper, які перезаписують дані і виводять з ладу ком’ютери.  З початку повномасштабного вторгнення Росії в Україну щонайменше шість груп російських хакерів провели близько 240 атак проти українських цифрових ресурсів. Про це йдеться у звіті компанії Microsoft. Фахівців дійшли висновки, що російські хакерські атаки часто збігаються в часі з бойовими діями окремих підрозділів проти конкретних установ чи об’єктів. Американські високопосадовці зауважили, що російські хакери досі не здійснили широкомасштабну атаку, яка би зірвала значущі сектори економіки чи канали комунікації військового керівництва, хоча розвідка мала дані про підготовку таких планів.

Російські кібероперації проти українських організацій значно зросли напередодні та після вторгнення Москви. Це зростання відбулося в усьому спектрі кібероперацій від дослідження та підготовки інструментів («Інструменти та розвідка») до отримання доступу, встановлення стійкості та бічного переміщення («Дії в мережі») до ексфільтрації та знищення даних («Дії щодо цілей»), загалом за цей період було 237 таких подій. Ми не включали в наш аналіз діяльність в анексованому росією Криму.

Цей щотижневий аналіз дає більш детальне уявлення про загрозу, яку ми спостерігали в контексті російських військових операцій, щоб підкреслити послідовну кіберкінетичну відповідність конфлікту. На цій діаграмі наведено вибірку українських галузей, які постраждали від відомих або підозрюваних вторгнень у мережу, пов’язаних з росією, чи деструктивних атак під час російського вторгнення в Україну. Національні урядові організації та сектори критичної інфраструктури були головними цілями. Відсоток «Інше» представляє 11 інших категорій постраждалих організацій, зокрема регіональні та міські органи влади, сільське господарство, оборонно-промислова база, охорона здоров’я, транспорт та фінанси та інші.

Висока кінетичність: регіони, які відображають у джерелах даних понад 90% щоденних зареєстрованих російських фізичних атак. Високий рівень кібер: регіони, які відображають понад 80% щоденних показників виявлених і заблокованих злочинних індикаторів у Microsoft Defender Antivirus. Час проведення: з 23 лютого по 6 квітня. Джерела даних: виявлена та заблокована активність антивірусом Microsoft Defender на основі відомих злочинних показників; дані з відкритим вихідним кодом про кінетичні атаки з проекту даних про місце розташування та події збройного конфлікту та Центру інформаційної стійкості. Окупований росією Крим був виключений з цього аналізу.

Подробиці — за посиланням 1, посиланням 2

Кіберфронт. Як рф атакує Україну та чи готові ми захищатися

Завідувач відділу інформаційної безпеки та кібербезпеки центру досліджень Національного інституту стратегічних досліджень Дмитро Дубов аналізує ситуацію на кіберфронті у матеріалі для НВ Бізнес.

• Україна щонайменше останні вісім років протистоїть організованим росією кібернападам. Починаючи від 2014 року, рф відпрацьовувала на Україні всі нові методи та вектори кібератак. Рф розглядала і продовжує розглядати кіберпростір як «сіру зону» бойових дій, де не діють правила та обмеження, але водночас можна досягати складних та багатовимірних результатів: виводити з ладу фізичні об’єкти інфраструктури, сіяти паніку та шпигувати.
• Головними цілями агресора залишаються українські об’єкти критичної інфраструктури.
• Традиційний підхід рф у питаннях «інформаційної війни» – це поєднання кіберактивностей із інформаційно-психологічними операціями.
• Протиборство триває. Але вже зараз можна відзначити, що в кібербезпековій складовій Україна досягла помітних успіхів. Подробиці — за посиланням

Злам номеру гарячої лінії військової бригади для паніки на Миколаївщині

Окупанти зламали номер гарячої лінії 28-ї окремої механізованої бригади імені Лицарів Зимового Походу, щоб сіяти паніку серед мешканців Миколаївської та Херсонської областей. Про це повідомили на сторінці бригади. «Номер гарячої лінії бригади (+380 (99) 736 18 89) було зламано. Не маючи жодного успіху у наступальних діях, противник вдається до інформаційно-психологічних операцій та розсилає повідомлення мешканцям Миколаївщини та Херсонщини з метою створення паніки на наших територіях. Будьте пильними і не піддавайтеся на подібні атаки. Йде війна і ворог використовує будь-які методи для досягнення переваги. Номер гарячої лінії бригади змінено. З усіх питань звертатись за номером, вказаним у закріпленому повідомленні на сторінці бригади. Разом переможемо, Слава Україні!», – йдеться у повідомленні. Подробиці — за посиланням

В РОСІЇ

Злом понад 80 баз даних, які є критичними для рф

Хакери вже зламали понад 80 баз даних, які є критичними для російської федерації. Про це розповів віцепрем’єр-міністр – міністр цифрової трансформації Михайло Федоров в інтерв’ю «РБК – Україна». «Зламано більше ніж 80 баз даних, які є критичними для РФ, це бази даних громадян, бізнесу, досить сенситивні дані», – сказав віцепрем’єр. Федоров додав, що завдяки цифровій блокаді російська соціальна мережа «ВКонтакте» не може придбати сервери. За його словами, російська сфера кібербезпеки дуже постраждала через санкції. Подробиці — за посиланням

Опубліковано особисті дані російського пропагандиста Соловйова

Хакери із задоволенням допомогли безкоштовно. Антон Геращенко опублікував особисті дані російського пропагандиста Соловйова Радник міністра внутрішніх справ України Антон Геращенко оголосив нагороду 100 тис. рублів хакерам, які зможуть зламати аккаунт російського пропагандиста Володимира Соловйова. Результат не забарився. Сьогодні у своєму офіційному акаунті Twitter Геращенко опублікував отримані від невідомих кіберактивістів дані про Соловйова. Серед них — паспорт популярного прокремлівського журналіста, номер його мобільного телефону, номер ІПН. За словами Геращенка, активісти відмовилися від нагороди. «До речі, хакери відмовилися брати винагороду за «злом» соловйова, — пише він. — Вони навіть готові доплачувати). Спасибі хлопці! Мочимо далі!». Подробиці — за посиланням

У СВІТІ

США оголосили винагороду $10 млн за інформацію про російських хакерів

Державний департамент Сполучених Штатів оголосив винагороду до 10 мільйонів доларів за інформацію про шістьох офіцерів розвідувального управління Генерального штабу Збройних сил РФ, причетних до кібератаки вірусом NotPetya. Зокрема йдеться про Юрія Андрієнка, Сергія Детістова, Павла Фролова, Анатолія Ковальова, Артема Очіченка та Петра Пліскіна. Зазначені особи працюють у підрозділі 74455 ГРУ, також відомому як Sandworm, Telebots, Voodoo Bear та Iron Viking. Вони були учасниками операції із зараження комп’ютерів вірусом NotPetya у 2017 році. Ця кібератака завдала організаціям США збитків майже на 1 мільярд доларів. Подробиці — за посиланням, посиланням 2, посиланням 3

Міжнародні хакери координують свої атаки на рф з Україною 

В інтерв’ю РБК-Україна глава Мінцифри Михайло Федоров заявив про те, що в кібервійні на стороні України задіяно багато іноземних хакерських рухів. Вони не афішують діяльність і уникають зайвої уваги, але при цьому взаємодіють один з одним. «Часто це непублічні організації, вони приховують своє реальне обличчя і рідко хочуть комунікувати з кимось, — каже Федоров. — Але скажу, що відбувається більш менш синхронізована діяльність з усіма ключовими групами». Подробиці — за посиланням

Російські хакери атакують чеські урядові сайти

Цього разу «лягли» ресурси МВС, поліції та пожежної охорони. Веб-сайти з ранку 27 квітня недоступні через кібератаку. Російські хакери перевантажили сайти так званою DDoS-атакою, під час якої зловмисники намагаються атакувати портали великою кількістю запитів з різних комп’ютерів одночасно. В результаті цього сервери не витримують навантаження і перестають працювати. Згідно з висновками Чеського інформаційного агентства, це спричинили дії хакерської російської групи Killnet. Вже минулого тижня державні сайти в Чехії зіткнулися з такими ж атаками. Міністр внутрішніх справ Віт Ракушан (STAN) тоді заявив ЗМІ, що атаки спричинили російські хакери. Тоді до атак приєдналася проросійська хакерська група Killnet. Сьогодні група заявила на своєму сайті, що такі ж атаки загрожують чеським ЗМІ, якщо вони не перестануть називати угруповання Killnet прокремлівським. Національне управління кібернетичної та інформаційної безпеки (NÚKIB) неодноразово вказувало на підвищений ризик кібершпигунства та кібератак у зв’язку з війною в Україні. Чехія підтримує Україну у війні з Росією, постачаючи зброю. Росія погрожує державам у відповідь, які підтримують Україну. Подробиці — за посиланням

ESET: хакери почали атакувати користувачів Windows за допомогою ярликів

Зловмисники знайшли спосіб здійснення атак на користувачів Windows за допомогою ярликів на робочому столі.  Фахівці звернули увагу на те, що хакери почали модифікувати файли з розширенням .lnk, щоб використовувати їх для віддалених атак на користувачів. Розширення .lnk зазвичай мають ярлики – системні файли, які використовуються для перенаправлення користувача на певну програму або папку. Фахівці ESET розповіли, що невідомі змінювали в налаштуваннях ярлика статичне посилання на оновлене, яке запускало віддалений скрипт. Як правило, у цьому випадку програма, на яку вказував ярлик, не запускалася. Під час атаки зловмисники використовували ботнет Emotet, необхідний для активації різних вірусів. За оцінкою експертів, активність ботнету останніми днями помітно збільшилася. Дані телеметрії ESET показали, що за допомогою нового способу зловмисники найчастіше атакували користувачів Windows із Мексики, Італії, Японії, Туреччини та Канади. Подробиці — за посиланням