Цифровая война России против Украины не показывает признаков замедления: число вредоносных программ резко возросло

Важные новости

Цифровая война России на Украине не показывает признаков замедления: рост вредоносного ПО

Использование Россией вредоносного ПО для поддержки своих военных усилий на Украине не показывает никаких признаков ослабления, в то время как ее тактика постоянно совершенствуется, чтобы обойти защиту.

Государственная служба специальной связи и защиты информации Украины (ГССПЗИ) на этой неделе опубликовала свой полугодовой отчет о киберактивности России в войне, отметив 90-процентный рост инцидентов, связанных с заражением вредоносным ПО.

Средства защиты электронной почты широко используются, и, согласно отчету SSSCIP, они весьма эффективны, а это значит, что россиянам придется проявить больше изобретательности, находя новые способы распространения вредоносного ПО на территории Украины.

В отчете подробно описывается пример, в котором UAC-0184, известная российская организация, занимающаяся кибершпионажем, нацеливается на военнослужащих, в частности, используя приложения для обмена сообщениями, такие как Signal, для кражи конфиденциальных документов.

«Вооружённые обширными персональными данными и контактными телефонными номерами, хакеры UAC-0184 выдают себя за других и инициируют общение со своими предполагаемыми жертвами, часто через Signal», — говорится в отчёте. «Стоит отметить, что они используют любые доступные ресурсы для «обработки» своих целей, включая платформы знакомств».

«После завоевания доверия жертвы, под видом отправки документов, связанных с наградами, боевыми кадрами или вербовкой в ​​другие подразделения, хакеры отправляют архив, содержащий файл ярлыка.

«Открытие файла ярлыка на компьютере отображает файл-приманку, относящийся к теме разговора, и одновременно заражает систему вредоносным ПО-загрузчиком, которое затем устанавливает программное обеспечение для удаленного управления. Таким образом, UAC-0184 получает полный доступ к компьютеру жертвы».

Сообщения-приманки часто тематически связаны с четырьмя ключевыми областями:

  • Запросы информации, такой как контактные данные или подтверждение того, что получатель получил какие-то документы

  • Обманчивая тактика запугивания, похожая на фальшивые спам-письма, например, попытка убедить получателя, что в отношении него ведется расследование из-за недавнего поведения

  • Обещания вознаграждений, таких как часы и отпуск

  • Фальшивая информация о переводе в другое подразделение

Вредоносное ПО на этом не заканчивается, поскольку популярные штаммы, такие как Smokeloader, были замечены в других, более спекулятивных фишинговых кампаниях в стиле «распыляй и молись», в то время как программы-вымогатели также были замечены в «нескольких» случаях.

Одной из тенденций, отмеченных SSSCIP, стал возобновившийся интерес России к разрушительным кибератакам. Война началась всего через несколько часов после разрушительной атаки России на Viasat, в которой использовалось вредоносное ПО WhisperGate, и подобные инциденты продолжают возникать в течение третьего года конфликта.

Еще в марте Россия попыталась провести масштабную разрушительную кибератаку против почти 20 организаций энергетической инфраструктуры на Украине, добившись успеха по крайней мере в некоторых случаях.

В отчете отмечается, что атаки включали компрометацию трех цепочек поставок одновременно, а также добавляется, что первоначальное заражение произошло через «общего поставщика услуг».

Украина приписала атаки UAC-0002, также известной как Sandworm, — одной из самых активных российских кибергрупп, связанной с атаками на водные объекты в США и ЕС, зимними Олимпийскими играми 2018 года, NotPetya и различными другими крупными атаками на критически важную инфраструктуру Украины.

«Нацеливание на такое большое количество организаций по отдельности является сложной задачей», — говорится в отчете. «Поэтому на этот раз они осуществили атаку на цепочку поставок, нацелившись как минимум на три цепочки поставок одновременно. 

«Этот вывод был сделан на основании того факта, что в некоторых случаях первоначальный несанкционированный доступ был связан с установкой специализированного программного обеспечения, содержащего бэкдоры и уязвимости, в то время как в других случаях злоумышленники скомпрометировали учетные записи сотрудников поставщика услуг, которые регулярно имели доступ к промышленным системам управления (ICS) организаций для обслуживания и технической поддержки».

Следователи обнаружили доказательства наличия различных видов вредоносного ПО, установленных на системах организаций критической инфраструктуры, таких как LoadGrip и BiasBoat, которые являются вариантами QueueSeed на базе Linux.

SSSCIP написал в своем отчете: «Учитывая работу этих специализированных программных систем в ICS целевых объектов, злоумышленники использовали их для горизонтального перемещения и эскалации кибератаки на корпоративные сети организации.

«Например, в таких системах в специализированных каталогах ПО были обнаружены заранее созданные PHP-веб-шеллы вроде Weevely, PHP-туннель Rgeorg.neo или Pivotnacci. 

«Вероятно, несанкционированный доступ к ИСУ значительного количества объектов энерго-, тепло- и водоснабжения был направлен на усиление воздействия ракетных ударов по инфраструктуре Украины весной 2024 года».

В сводке инцидента, подготовленной Украинской группой реагирования на компьютерные инциденты (CERT-UA), в то время отмечалось, что атаки могли разворачиваться из-за неадекватной сегментации сети и «небрежного отношения» поставщиков программного обеспечения, которые не исправляли «банальные» уязвимости удаленного выполнения кода.

Сохранение незаметности

Евгения Наконечная, руководитель Государственного центра киберзащиты ГССКИБ, заявила, что отличительной чертой киберактивности России в 2024 году стало нацеливание на «все, что напрямую связано с театром военных действий», попытки сохранить незаметность и постоянный доступ к ключевым системам, на которые полагаются военные.

«Хакеры уже не просто используют уязвимости везде, где только могут, но и нацеливаются на области, имеющие решающее значение для успеха и поддержки их военных операций», — сказала она.

Несмотря на возвращение России к разрушительным атакам, подобным тем, что наблюдались на ранних этапах войны, ее стремление оставаться (в основном) вне поля зрения подтверждается данными, собранными CERT-UA и SSSCIP.

Киберармия Путина по-прежнему активна, как никогда, зафиксировав 19-процентный рост общего числа атак в первой половине 2024 года. Однако инциденты, расследованные Украиной, в основном были отнесены к категории низкой серьезности.

По сравнению с последними шестью месяцами 2023 года количество инцидентов «критической» и «высокой» степени серьезности сократилось на 90 и 71 процент соответственно. Из 1739 проанализированных инцидентов только 48 попали в самую серьезную категорию, хотя продолжающиеся нападения России на правительственный и военный секторы по-прежнему вызывают озабоченность.

«Война продолжается, и киберпространство остается полем битвы само по себе», — говорится в отчете. «Враг полон решимости собирать разведданные любыми необходимыми способами, что заставляет нас полагать, что кибератаки, нацеленные на военнослужащих и государственные органы, останутся распространенными. 

«Фишинг и заражение вредоносным ПО являются основными инструментами кибершпионажа, а самым слабым звеном является человеческое поведение. Поэтому основные средства кибербезопасности должны быть сосредоточены на постоянном повышении осведомленности граждан об основных правилах кибергигиены и текущих киберугрозах». ®

Новости сегодня

Последние новости