Кіберновини на 5 квітня
В УКРАЇНІ
Кібератака групи UAC-0010 (Armageddon) на державні організації України (CERT-UA#4378)
Зловмисники знову використовують болючі для українців теми. Зокрема, «паразитують» на інформації щодо персональних даних росіян, які скоїли воєнні злочини в нашій країні. Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виялено факт розповсюдження електронних листів з темою «Інформація щодо військових злочинців РФ» серед державних органів України. Електронний лист містить HTML-файл «Військові злочинці РФ.htm», відкриття якого призведе до створення на комп’ютері RAR-архіву «Viyskovi_zlochinci_RU.rar». Згаданий архів містить файл-ярлик «Військові-злочинці що знищують Україну (домашні адреси, фото, номера телефонів, сторінки у соціальних сетях).lnk», відкриття якого призведе до завантаження HTA-файлу, який містить VBScript-код, що, у свою чергу, забезпечить завантаження і запуск powershell-скрипта «get.php» (GammaLoad.PS1). Завданням останнього є визначення унікального ідентифікатору комп’ютера (на основі імені комп’ютера та серійного номеру системного диску), передача цієї інформації для використання як XOR-ключа на сервер управління за допомогою HTTP POST-запиту, а також завантаження, XOR-декодування та запуск пейлоаду. Активність асоційовано з діяльністю групи UAC-0010 (Armageddon). Звертаємо увагу на необхідність додаткової перевірки електронних листів із вкладеннями у вигляді HTM-файлів, адже, наразі, рівень їхнього детектування низький. Див. джерело, джерело1, джерело2
В Україні унормували використання Bug Bounty для пошуку помилок і вразливості програм, додатків та сайтів
Процедура Bug Bounty широко застосовується у всьому світі. Це залучення за винагороду зовнішніх фахівців до пошуку помилок і вразливостей програмних продуктів, інформаційно-комунікаційних систем тощо. Це дає можливість оперативно усувати всі недоліки та прогалини у безпеці. Ще до початку війни, після кібератак 14 січня на сайти державних органів влади, Держспецзв’язку розробила законопроєкт щодо внесення невідкладних змін в українське законодавство для узаконення процедури Bug Bounty. У березні Верховна Рада України проголосувала за внесення змін до Кримінального кодексу України. Завдяки ухваленим змінам втручання в роботу інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж не вважатиметься несанкціонованим, якщо таке втручання вчинено відповідно до Порядку пошуку та виявлення потенційних вразливостей таких систем чи мереж. Зараз Держспецзв’язку активно напрацьовує текст відповідного Порядку. «Після його затвердження ми зможемо запустити повноцінну систему національних Bug Bounty. ІТ-спільнота зможе легально тестувати державні інформаційні системи на наявність вразливостей, а держава отримає інструмент для значного підвищення ступеня захисту таких систем», – зазначив голова Держспецзв’язку Юрій Щиголь. Щодо розміру винагород – це питання поки обговорюється. Див. джерело
У РОСІЇ
Більшість сайтів обласних та районних судів загальної юрисдикції РФ перестали відкриватися
За інформацією від INTERFAX.RU, Москва, 4 квітня, користувачі не можуть потрапити на інтернет-сайти судів загальної юрисдикції з доменом sudrf.ru, який використовується обласними та районними судами у більшості регіонів рф. У прес-службі Красноярського обласного суду журналістам повідомили, що «всі сайти судів рф у такому стані», причина невідома. Спочатку при спробі зайти на будь-який сайт суду з’являється повідомлення «доступ заборонено», а також код помилки 403, яка може виникнути, наприклад, через неправильний індексний файл або при перенесенні домену з одного акаунта на інший. Пізніше сайти деяких російських судів видавали повідомлення про помилку 502, яка виникає, коли сервер, якого підключений користувач, виступає в ролі посередника, що передає інформацію від іншого сервера, і отримує некоректну відповідь. Див. джерело
У СВІТІ
Anonymous оприлюднили персональні дані 120 000 російських солдатів, які воюють проти України
Міжнародна група хакерів Anonymous злила персональні дані 120 тисяч російських військових. Всі вони беруть участь у воєнній агресії проти України. «Усі солдати, які беруть участь у вторгненні в Україну, мають бути піддані трибуналу за військові злочини», – наголосили хакери у повідомленні. Див. джерело, джерело1
Хакери Armageddon атакували державні інституції країн Європейського Союзу, «паразитуючи» на темі гуманітарної допомоги Україні
Наприкінці березня 2022 року Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA виявлено декілька RAR-архівів з іменами «Assistance.rar», «Necessary_military_assistance.rar». Кожен з таких архівів містив шкідливі файли-ярлики з назвами «List of necessary things for the provision of military humanitarian assistance to Ukraine.lnk», «Providing military humanitarian assistance to Ukraine.lnk». Крім того, з’ясовано, що способом доставки були електронні листи з посиланнями на згадані RAR-архіви. Використання англійської мови в назвах файлів та тексті електронного листа, а також той факт, що лист надіслано на адресу державного органу Латвії, однозначно свідчить про здійснення атак групою UAC-0010 (Armageddon) на державні органи країн Європейського Союзу. Див. джерело
