Использование Россией вредоносного ПО для поддержки своих военных усилий на Украине не показывает никаких признаков ослабления, в то время как ее тактика постоянно совершенствуется, чтобы обойти защиту.
Государственная служба специальной связи и защиты информации Украины (ГССПЗИ) на этой неделе опубликовала свой полугодовой отчет о киберактивности России в войне, отметив 90-процентный рост инцидентов, связанных с заражением вредоносным ПО.
Средства защиты электронной почты широко используются, и, согласно отчету SSSCIP, они весьма эффективны, а это значит, что россиянам придется проявить больше изобретательности, находя новые способы распространения вредоносного ПО на территории Украины.
В отчете подробно описывается пример, в котором UAC-0184, известная российская организация, занимающаяся кибершпионажем, нацеливается на военнослужащих, в частности, используя приложения для обмена сообщениями, такие как Signal, для кражи конфиденциальных документов.
«Вооружённые обширными персональными данными и контактными телефонными номерами, хакеры UAC-0184 выдают себя за других и инициируют общение со своими предполагаемыми жертвами, часто через Signal», — говорится в отчёте. «Стоит отметить, что они используют любые доступные ресурсы для «обработки» своих целей, включая платформы знакомств».
«После завоевания доверия жертвы, под видом отправки документов, связанных с наградами, боевыми кадрами или вербовкой в другие подразделения, хакеры отправляют архив, содержащий файл ярлыка.
«Открытие файла ярлыка на компьютере отображает файл-приманку, относящийся к теме разговора, и одновременно заражает систему вредоносным ПО-загрузчиком, которое затем устанавливает программное обеспечение для удаленного управления. Таким образом, UAC-0184 получает полный доступ к компьютеру жертвы».
Сообщения-приманки часто тематически связаны с четырьмя ключевыми областями:
-
Запросы информации, такой как контактные данные или подтверждение того, что получатель получил какие-то документы
-
Обманчивая тактика запугивания, похожая на фальшивые спам-письма, например, попытка убедить получателя, что в отношении него ведется расследование из-за недавнего поведения
-
Обещания вознаграждений, таких как часы и отпуск
-
Фальшивая информация о переводе в другое подразделение
Вредоносное ПО на этом не заканчивается, поскольку популярные штаммы, такие как Smokeloader, были замечены в других, более спекулятивных фишинговых кампаниях в стиле «распыляй и молись», в то время как программы-вымогатели также были замечены в «нескольких» случаях.
Одной из тенденций, отмеченных SSSCIP, стал возобновившийся интерес России к разрушительным кибератакам. Война началась всего через несколько часов после разрушительной атаки России на Viasat, в которой использовалось вредоносное ПО WhisperGate, и подобные инциденты продолжают возникать в течение третьего года конфликта.
Еще в марте Россия попыталась провести масштабную разрушительную кибератаку против почти 20 организаций энергетической инфраструктуры на Украине, добившись успеха по крайней мере в некоторых случаях.
В отчете отмечается, что атаки включали компрометацию трех цепочек поставок одновременно, а также добавляется, что первоначальное заражение произошло через «общего поставщика услуг».
Украина приписала атаки UAC-0002, также известной как Sandworm, — одной из самых активных российских кибергрупп, связанной с атаками на водные объекты в США и ЕС, зимними Олимпийскими играми 2018 года, NotPetya и различными другими крупными атаками на критически важную инфраструктуру Украины.
«Нацеливание на такое большое количество организаций по отдельности является сложной задачей», — говорится в отчете. «Поэтому на этот раз они осуществили атаку на цепочку поставок, нацелившись как минимум на три цепочки поставок одновременно.
«Этот вывод был сделан на основании того факта, что в некоторых случаях первоначальный несанкционированный доступ был связан с установкой специализированного программного обеспечения, содержащего бэкдоры и уязвимости, в то время как в других случаях злоумышленники скомпрометировали учетные записи сотрудников поставщика услуг, которые регулярно имели доступ к промышленным системам управления (ICS) организаций для обслуживания и технической поддержки».
Следователи обнаружили доказательства наличия различных видов вредоносного ПО, установленных на системах организаций критической инфраструктуры, таких как LoadGrip и BiasBoat, которые являются вариантами QueueSeed на базе Linux.
SSSCIP написал в своем отчете: «Учитывая работу этих специализированных программных систем в ICS целевых объектов, злоумышленники использовали их для горизонтального перемещения и эскалации кибератаки на корпоративные сети организации.
«Например, в таких системах в специализированных каталогах ПО были обнаружены заранее созданные PHP-веб-шеллы вроде Weevely, PHP-туннель Rgeorg.neo или Pivotnacci.
«Вероятно, несанкционированный доступ к ИСУ значительного количества объектов энерго-, тепло- и водоснабжения был направлен на усиление воздействия ракетных ударов по инфраструктуре Украины весной 2024 года».
В сводке инцидента, подготовленной Украинской группой реагирования на компьютерные инциденты (CERT-UA), в то время отмечалось, что атаки могли разворачиваться из-за неадекватной сегментации сети и «небрежного отношения» поставщиков программного обеспечения, которые не исправляли «банальные» уязвимости удаленного выполнения кода.
Сохранение незаметности
Евгения Наконечная, руководитель Государственного центра киберзащиты ГССКИБ, заявила, что отличительной чертой киберактивности России в 2024 году стало нацеливание на «все, что напрямую связано с театром военных действий», попытки сохранить незаметность и постоянный доступ к ключевым системам, на которые полагаются военные.
«Хакеры уже не просто используют уязвимости везде, где только могут, но и нацеливаются на области, имеющие решающее значение для успеха и поддержки их военных операций», — сказала она.
Несмотря на возвращение России к разрушительным атакам, подобным тем, что наблюдались на ранних этапах войны, ее стремление оставаться (в основном) вне поля зрения подтверждается данными, собранными CERT-UA и SSSCIP.
Киберармия Путина по-прежнему активна, как никогда, зафиксировав 19-процентный рост общего числа атак в первой половине 2024 года. Однако инциденты, расследованные Украиной, в основном были отнесены к категории низкой серьезности.
По сравнению с последними шестью месяцами 2023 года количество инцидентов «критической» и «высокой» степени серьезности сократилось на 90 и 71 процент соответственно. Из 1739 проанализированных инцидентов только 48 попали в самую серьезную категорию, хотя продолжающиеся нападения России на правительственный и военный секторы по-прежнему вызывают озабоченность.
«Война продолжается, и киберпространство остается полем битвы само по себе», — говорится в отчете. «Враг полон решимости собирать разведданные любыми необходимыми способами, что заставляет нас полагать, что кибератаки, нацеленные на военнослужащих и государственные органы, останутся распространенными.
«Фишинг и заражение вредоносным ПО являются основными инструментами кибершпионажа, а самым слабым звеном является человеческое поведение. Поэтому основные средства кибербезопасности должны быть сосредоточены на постоянном повышении осведомленности граждан об основных правилах кибергигиены и текущих киберугрозах». ®