Кібервійна. НКЦК при РНБО України попереджає про кібератаку на систему документообігу державних органів |
Про це повідомила пресслужба РНБО.
Метою атаки було масове зараження інформаційних ресурсів державних органів, оскільки саме з використанням цієї системи здійснюється документообіг у більшості органів державної влади.
Шкідливі документи містили макрос, який під час відкриття файлів приховано завантажував програму для віддаленого управління комп’ютером. Способи та засоби реалізації цієї кібератаки дозволяють пов’язати її з одним із хакерських шпигунських угруповань з Російської Федерації.
За сценарієм атака належить до так званих supply chain attack. Це атака на ланцюжок поставок, під час якої атакуючі намагаються отримати доступ до цільової організації не напряму, а через вразливості в інструментах і сервісах, які вона використовує.
Найвідомішими та наймасштабнішими атаками такого типу стали NotPetya, спрямована на пошкодження української інфраструктури у 2017 році, та Solorigate – кібершпигунська операція Російської Федерації 2020-2021 року, яку нині розслідують у США. У цих випадках шкідливий програмний код поширювався через поширене програмне забезпечення (МЕДОК в Україні та продукти Solarwinds в США), яке було скомпрометовано атакуючими.
Основні індикатори атаки
Домени
enterox.ru
ІР адреси
109.68.212.97
Посилання (URL)
http://109.68.212.97/infant.php
НКЦК наголошує на необхідності:
- регулярно встановлювати оновлення безпеки для операційної системи та програм на робочих місцях, підключених до системи СЕВ ОВВ;
- застосувати жорсткі політики цілісності коду, які дозволяють працювати лише авторизованим програмам;
- використовувати антивірусне програмне забезпечення або інші рішення для захисту робочих місць та здійснювати моніторинг подій безпеки у них;
- замінити паролі доступу до системи електронного документообігу на більш стійкі;
- здійснювати моніторинг спроб підбору паролів до онлайн(веб)-систем електронного документообігу;
- відключити виконання макросів у документах Microsoft Office на робочих місцях, підключених до системи СЕВ ОВВ.
У разі виявлення індикаторів атаки просимо одразу повідомляти Національний координаційний центр кібербезпеки ([email protected]).