Российская хакерская группировка Armageddon наращивает активность в IТ-системах государственных органов Украины, поэтому Госспецсвязи просит, в частности, военнослужащих ВСУ немедленно обращаться в Центр кибербезопасности, если на компьютере отсутствует средство защиты класса EDR (не "антивирус") для установки соответствующего программного обеспечения.

"Специалисты правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA, которая действует при Госспецсвязи, проанализировали актуальные тактики, техники и процедуры, которые используют хакеры одной из наиболее активных и опасных российских хакерских группировок - UAC-0010 (Armageddon / Gamaredon). Напомним: к ней относятся бывшие "офицеры" из СБУ в АР Крым, которые в 2014 году предали Родину и начали прислуживать фсб россии", - говорится в пресс-релизе Госспецсвязи в пятницу.

Как сообщается, основная задача группировки - кибершпионаж в отношении Сил безопасности и обороны Украины. Также известно, как минимум, об одном случае деструктивной деятельности на объекте информационной инфраструктуры.

По данным CERT-UA, количество одновременно инфицированных компьютеров, которые преимущественно функционируют в пределах информационно-коммуникационных систем государственных органов, может достигать нескольких тысяч.

"Как атакуют. В качестве вектора первичной компрометации хакеры в основном используют электронные письма и сообщения в мессенджерах (Telegram, WhatsApp, Signal), которые рассылают через заранее скомпрометированные учетные записи. Самый распространенный способ - отправка жертве архива, содержащего HTM или HTA-файл, открытие которого инициирует цепь инфицирования", - объясняют киберспециалисты механизм атаки противника.

Как сообщается, для распространения вредоносных программ предусмотрена возможность поражения съемных носителей информации, легитимных файлов (в частности, ярлыков), а также модификации шаблонов Microsoft Office Word, что обеспечивает инфицирование всех создаваемых на ЭВМ документов через добавление соответствующего макроса.

"После начального поражения злоумышленники могут похищать файлы с расширениями .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z, .mdb в течение 30-50 минут - в основном с применением вредоносных программ GAMMASTEEL. Компьютер, функционирующий в пораженном состоянии около недели, может насчитывать от 80 до 120 и более вредоносных (инфицированных) файлов, без учета тех файлов, которые будут созданы на съемных носителях информации, которые будут подключаться в течение этого периода к ЭВМ",- предупреждают специалисты CERT-UA.

Другие детали о кибератаках группировки, рекомендации по защите - на сайте CERT-UA по ссылке https://cert.gov.ua/article/5160737.

"Также специалисты правительственной команды реагирования на компьютерные чрезвычайные события Украины предостерегают военнослужащих ВСУ: если на компьютере отсутствует средство защиты класса EDR (не "антивирус") - немедленно обратитесь в Центр кибербезопасности ИТС (в/ч А0334; email: [email protected]) для установки соответствующего программного обеспечения", - говорится в сообщении Госспецсвязи.

"В группе повышенного риска - ЭВМ, размещенные за пределами периметра защиты, в частности те, которые для доступа к интернету используют терминалы Starlink. Отсутствие упомянутой технологии защиты повышает вероятность кибератак как на отдельный компьютер, так и на всю информационно-коммуникационную систему (сеть) подразделения. В случае выявления факта поражения по приведенным CERT-UA индикаторами - безотлагательно сообщайте Центр кибербезопасности ИТС", - подчеркивается в пресс-релизе.