Експерти з кібербезпеки виявили нову фішингову кампанію, яку веде відома група хакерів APT28. Ця група пов’язується з ГРУ Росії та в останні роки активно займається кібершпигунством. Цього разу їх фішингова кампанія спрямована проти українських військових з метою крадіжки даних.
Коротко про APT28
Хакерська група APT28, також відома як Pawn Storm, Fancy Bear і BlueDelta існує щонайменше з 2004 року. Вони в основному зосереджуються на зборі розвідувальної інформації для російського уряду. Протягом років вони атакували різні цілі, включаючи американських політиків, організації та навіть ядерні об’єкти в США. Через високу професійність APT28 становить серйозну кіберзагрозу для своїх цілей. Останні атаки групи APT28 на військові структури України включають в себе прицільний фішинг (англ. spear phishing).
Фішингова кампанія APT28 атакує українських військових
Фішингова кампанія включає в себе розсилку електронних листів, що містять експлойти. Хакери маскують їх під розсилку військової інформації щодо ситуації в Україні. Лист містить посилання, при відкритті якого відбувається атака викрадення фрейму: користувачу пропонується увійти в систему через побічне вікно, викликане спеціальним скриптом.
Облікові дані введені у таку форму одразу викрадаються хакерами. В подальшому, за допомогою доступу до цієї поштової скриньки, вони можуть отримати доступ і до інших ресурсів, які прив’язані до неї.
Втім, така тактика не є новою для APT28. Згідно з даними CERT-UA, один з використаних методів включає розсилку HTML-файлів, які імітують вебінтерфейси таких сервісів як UKR.NET та Yahoo.com, з метою крадіжки логінів та паролів через HTTP POST-запити. Ці дії включали ексфільтрацію даних через скомпрометовані пристрої.
Один із сценаріїв фішингової атаки:
Здійснюється розсилка фішингових листів, замасковані як повідомленнями від Команди реагування на кіберінциденти України (CERT-UA). Ці листи мали заголовок “Кібератака” та маскувалися під актуальні новини та інформацію щодо кібербезпеки. В листах містяться посилання, які ведуть на фішингові сторінки і сторінки з експлойтами.
Після того, як жертва відкриває таке посилання, сайт збирає інформацію про місцезнаходження та IP-адресу користувача. У випадку фішингової сторінки, користувачу пропонується ввести облікові дані до сервісу, під який така сторінка замаскована. Окрім цього, експлойти браузера могли бути використані для інфікування цільової системи.
Методи боротьби
Боротьба з такими атаками вимагає від українських військових та організацій постійної уваги до кібербезпеки, включаючи оновлення програмного забезпечення, навчання персоналу основам кібергігієни та співпрацю з міжнародними партнерами для обміну інформацією про загрози. Важливо повідомляти про підозрілі листи відповідальним службам кібербезпеки.
Нещодавна публікація ASEC описує нову кампанію розповсюдження бекдора SmokeLoader, спрямовану на урядові та громадські установи в Україні. Ця спроба кібершпигунства є черговим витком кібератак проти України. Злодії переважно використовують фішингові електронні листи, написані українською мовою, аби обманом змусити одержувачів відкрити вкладені архівні файли.
Коротко про бекдор SmokeLoader
SmokeLoader, також відомий як Dofoil або Smoke Bot, – це шкідливе програмне забезпечення, що належить до категорії бекдорів/лоадерів. Його основне призначення – надання віддаленого доступу до системи та завантаження додаткового шкідливого ПЗ. Оперуючи на надзвичайно низькому рівні, SmokeLoader має можливість запускати інші шкідники майже у будь-якій системі, не наражаючись на ризик бути виявленим. Тим не менш, як показує дана кампанія, його можливості як бекдора є не менш гнучкими та корисними для зловмисників.
Атаки, які використовують SmokeLoader, часто характеризуються високим ступенем складності. SmokeLoader часто змінює свій цифровий підпис, щоб уникнути ідентифікації антивірусними програмами. Крім того, він використовує передові методи маскування коду, що робить його аналіз і виявлення складним завданням для антивірусного програмного забезпечення. Після попадання в систему він може завантажувати та встановлювати такі шкідливі програми, як клавіатурні шпигуни, модулі для викрадення даних та різні штами вірусів.
Механізм атаки
Злодії використовують ретельно створені фішингові листи українською мовою, щоб заманити в пастку жертву. Такий імейл надзвичайно легко зплутати з рутинною розсилкою, з якою зтикається більшість працівників великих підприємств. Ці листи можуть містити текст, що закликає отримувача відкрити вкладення або перейти за посиланням.
Приклад фішингового листа з шкідливим вкладенням
Окрім тексту, вони містять вкладення у вигляді архівованих файлів (зазвичай, ZIP або RAR), які містять шкідливе програмне забезпечення. Назва файлу зазвичай маскується під безпечний документ, наприклад, PDF. Вкладення можуть містити більше одного рівня архіву, приховуючи справжній шкідливий файл. Наприклад, ZIP-файл може містити ще один архів, який, у свою чергу, містить виконуваний файл у форматі SFX.
Коли користувач розпаковує файли та запускає виконуваний файл, активується шкідливий код. В цьому випадку SmokeLoader може ініціювати завантаження та встановлення додаткових шкідливих модулів. Після активації, SmokeLoader з’єднується з сервером C&C для отримання інструкцій та додаткового шкідливого ПЗ. Завантажене шкідливе ПЗ може виконувати різноманітні дії, включаючи крадіжку даних, шпигунство, шифрування файлів для викупу (рансомваре) та інші зловмисні дії.
Реакція держави
CERT-UA – українська урядова команда реагування на комп’ютерні надзвичайні події – попереджає про активізацію цієї кампанії, особливо націленої на фінансовий сектор. Кампанія UAC-0006 демонструє деякі зміни в тактиці порівняно з попередніми ітераціями, використовуючи різні методи доставки та потенційно включаючи додаткові інструменти.
Поради організаціям
Організації, особливо в таких важливих секторах, як уряд і критична інфраструктура, повинні зберігати пильність і впроваджувати надійні заходи кібербезпеки.
Не відкривайте електронні листи, посилання або вкладення від невідомих або підозрілих джерел. Фішингові атаки часто виглядають як листи від законних компаній або осіб.
Переконайтеся, що електронна пошта відправника відповідає офіційній адресі компанії. Фішери часто використовують адреси, які виглядають подібно до справжніх, але містять дрібні помилки або зміни.
Не натискайте на посилання у сумнівних електронних листах. Наведіть курсор на посилання, щоб побачити, куди воно веде, перш ніж натискати.
Регулярно оновлюйте вашу антивірусну програму та інше програмне забезпечення, включаючи операційні системи та браузери, щоб захистити себе від відомих вразливостей.
Кібервійна України з Росією триває, оскільки угруповання UAC-0099 посилює свою кампанію кібершпигунства проти українських підприємств. Використовуючи серйозну вразливість у популярному програмному забезпеченні WinRAR, група організовує складні атаки для розгортання шкідливого програмного забезпечення Lonepage, що базується на VBS і здатне віддалено виконувати команди та викрадати дані.
UAC-0099 використовують вразливість в WinRar
У більшості останніх атак UAC-0099 зосередився на використанні вразливості WinRAR (CVE-2023-38831, оцінка CVSS: 7.8), що свідчить про складний підхід до кібератак. Ця вразливість WinRAR, широко використовуваного інструменту для стиснення файлів, дозволяє зловмисникам впроваджувати шкідливий код в системи, які нічого не підозрюють. Експлойт передбачає використання підроблених архівів, що саморозпаковуються (SFX), і спеціально створених ZIP-файлів, призначених для обходу традиційних заходів безпеки і доставки шкідливого програмного забезпечення Lonepage безпосередньо в серце цільової системи.
Вектори атаки через WinRAR:
Архіви, що саморозпаковуються: Зловмисники поширюють SFX-файли, які містять шкідливі ярлики LNK, замасковані під звичайні документи DOCX. Ці файли, використовуючи знайомі іконки, такі як Microsoft WordPad, спонукають жертв до ненавмисного запуску шкідливих скриптів PowerShell, які встановлюють Lonepage.
Маніпуляції з ZIP-файлами: UAC-0099 також використовує ZIP-архіви, спеціально створені для використання вразливості WinRAR. Ці файли розроблені так, щоб запускати вразливість, яка через низку недосконалостей у програмі дозволяє виконання довільного коду.
Ланцюг вразливості в WinRAR
Хто такі UAC-0099?
Угруповання UAC-0099, вперше виявлене українською командою реагування на кіберінциденти CERT-UA у червні 2023 року, передусім націлене на українських робітників, які працюють у міжнародних компаніях. Їх тактика, хоч і не є інноваційною, виявилася ефективною для компрометації критично важливої інформації з широкого кола державних організацій та медіа-структур. Нещодавній аналіз Deep Instinct виявив тривожну тенденцію: постійний фокус групи на шпигунстві, що ставить під загрозу не лише організації, а й окремих осіб, які в них працюють.
Що таке Lonepage?
Lonepage – це бекдор, що використовується UAC-0099 у кампаніях кібершпигунства. Він призначений для прихованого проникнення в цільові системи та встановлення зв’язку з командно-контрольним сервером (C2). Після встановлення Lonepage може отримувати та виконувати подальші шкідливі інструкції з цього сервера.
Можливості Lonepage включають розгортання додаткового корисного навантаження, такого як клавіатурні шпигуни, викрадачі даних та інструменти для створення знімків екрана. Універсальність і здатність адаптуватися до різних середовищ роблять цього шкідника значною загрозою, здатною непомітно отримувати конфіденційну інформацію та здійснювати довготривале спостереження за скомпрометованими системами.
Рекомендації та пом’якшення наслідків
Оскільки зловмисники продовжують вдосконалювати свою тактику, організаціям, особливо тим, що мають зв’язки з Україною, вкрай важливо випереджати ці загрози за допомогою ефективних практик безпеки, безперервного навчання та надійного технологічного захисту. Боротьба з кіберзлочинністю триває, і обізнаність є першим кроком до захисту нашого цифрового майбутнього.
Ось кілька порад:
Переконайтеся, що все програмне забезпечення, особливо широко поширені програми, такі як WinRAR, мають найновіші виправлення безпеки.
Проводьте регулярні тренінги для співробітників, щоб навчити їх розпізнавати спроби фішингу та підозрілі додатки до електронних листів.
Впроваджуйте передові рішення з безпеки, включаючи брандмауери, антивірусні програми та системи виявлення вторгнень.
Виконуйте регулярний аналіз системи безпеки та постійно відстежуйте мережевий трафік на наявність ознак незвичайної активності.
У вівторок, 12 грудня 2023 року, найбільший український мобільний оператор “Київстар” зазнав руйнування мережевої інфраструктури. Це сталося в результаті хакерської атаки, яку, найімовірніше, здійснили російські зловмисники.
Оскільки у перший день не було нічого, окрім спекуляцій та припущень, я вирішила відкласти написання цього посту, щоб зібрати більше інформації щодо ситуації. Сьогодні з’явилися деякі факти, які дозволяють мені зробити всебічний аналіз справи.
“Київстар” хакнуто – що відомо наразі?
Рано вранці 12 грудня перестали працювати усі сервіси “Київстар”. Оскільки компанія працює не лише в сегменті мобільного зв’язку, але й надає послуги домашнього інтернету та зв’язку для бізнесу, користувачі і цих послуг мали проблеми. Функція “національний роумінг”, яка дозволяє перемикатися між операторами з певними обмеженнями, теж не працювала, що означало, що структура мережі серйозно порушена.
Близько 12:00 з’явилися перші офіційні коментарі від компанії. Вони заявили про кібератаку, яка порушила роботу їхніх сервісів, і спрогнозували досить тривалий процес відновлення. У подальших заявах уточнювалося, що орієнтовний час відновлення основних сервісів – не раніше 13 грудня.
Допис компанії у Twitter щодо ситуації
До вечора того ж дня подробиць було небагато. Хоча деякі аналітики намагалися робити висновки, вони були здебільшого розмиті і дуже приблизні. Деякі джерела також припускали, що “Київстар” зазнав перебоїв через DDoS-атаку. Але скоріш за все, це була просто плутанина через одночасний запуск DDoS-атаки на Monobank. Тим часом, до кінця дня компанії вдалося відновити частину своїх послуг, зокрема, домашній інтернет.
Вранці 13 грудня 2023 року почали з’являтися деякі факти та ще більше чуток. Серед останніх найяскравішою, що пробігла усіма новостними пабліками, була заява про відповідальність від раніше невідомого угрупування “Солнцепек”. Банда опублікувала свою заяву разом зі скріншотами того, що за їх твердженнями є фото елементів зламаної мережі. Тим не менш, достовірність як заяви, так і скріншотів є дуже сумнівною, оскільки ніхто раніше не чув про цю групу, а на цих скріншотах немає жодних деталей, які хоч якось би натякали, що мають відношення до Київстару.
Один із скріншотів, поширений хакерами групи Солнцепёк у якості доказу зламу
Непередбачувані наслідки
Оскільки “Київстар” є найбільшим оператором мобільного зв’язку в Україні, відключення спричинило очевидні проблеми для понад 24 мільйонів користувачів. Враховуючи, що населення країни складає близько 40 мільйонів, відключення певною мірою торкнулося кожного другого громадянина. Це, безумовно, показало, наскільки сильно люди залежать від технологій у наш час, але деякі проблеми, спричинені цим інцидентом не були настільки очевидними.
Статистика українського телекомунікаційного ринку. Джерело: Telegeography
Наприклад, сигнали повітряної тривоги – вкрай необхідна річ у країні, що воює – залежала від мережі мобільного зв’язку “Київстар”. Як наслідок, багато міст по всій країні не чули сигналів повітряної тривоги. Навіть онлайн-мапа повітряної тривоги не могла працювати належним чином. Це особливо прикро, оскільки ракетні удари та удари БПЛА відбуваються щодня.
Однак, була і ложка меду у бочці дьогтю – у російських окупантів, які знаходяться на окупованих територіях Херсонської та Запорізької областей, також виникли проблеми з мобільним зв’язком. Оскільки загарбники використовували крадені SIM-картки українських операторів, їхні телефони перестали працювати. Така собі розплата за вкрадені сім-картки.
Окупанти скаржаться, що теж постраждали від атаки на Київстар
Злам Київстару – хто винен?
Що ж, відкинувши всі припущення, давайте розберемося, що саме сталося, і з’ясуємо, хто несе відповідальність за злом. Характер руйнувань і те, як відбувається відновлення, дозволяє припустити, що хакерам вдалося закріпитися у більшості інфраструктурних елементів корпоративної мережі. Далі вони знищили все, до чого змогли дотягнутися. Це не було просто “DROP DATABASE”, як дехто припускав раніше – бо в такому випадку відновлення не зайняло б стільки часу. Більше того, представники “Київстар” стверджують, що вони змушені відновлювати мережу “крок за кроком”.
Статистика доступності мережі “Київстар”. Джерело: NetBlocks
Скоріш за все виконавцем є одне з російських APT угрупувань. Хоча поки що явних підтверджень тому немає, але зламувати українські компанії з метою чистого вандалізму, комусь окрім росіян наразі немає зиску. Хоча заяви безіменної хакерської групи не є переконливими, національність хакерів сумнівів не викликає.
Щодо самого оператора, то на “Київстарі” лежить велика відповідальність. Наявність такої кількості користувачів створює значну відповідальність не лише в питанні доступності послуг, але й безпеки даних. Адреси, паспортні дані, номери телефонів, електронні адреси – все це було успішно злито. Халепа для країни в мирний час, злочинна недбалість для країни в стані війни.
Якщо скріншоти, якими поділилася так звана група “Солнцепек”, справжні, все може бути набагато гірше. Аналітик під ніком Sean Townsend ділиться своїми міркуваннями щодо того, про що йдеться на скріншотах. Спойлер – безпеки могло взагалі не бути.
Переклад
Визнаю, я помилявся, це все одно була одна з найдурніших атак в історії хакерства та військової справи. Не варто недооцінювати ворога, росіяни завжди готові зробити щось подібне, нехтуючи будь-якими стратегічними перевагами заради миттєвого тактичного успіху. З іншого боку, якщо скріншоти справжні, то в Київстарі все влаштовано точно так само, як і в будь-якому іншому пострадянському магазині, тобто безпека непогана або дуже погана, але у мене її просто немає і ніколи не було.
Оновлено 13.12.2023 (23:00 по Києву)
Ввечері 13 грудня президент компанії Олександр Комаров в ефірі телемарафону заявив що “Київстар” зламували через обліковий запис одного зі співробітників.
Треба визнати, що ця атака пробила наш захист. Це сталося, тому що було скомпрометовано обліковий пул, скомпрометовано обліковий запис когось зі співробітників і противник зміг потрапити всередину інфраструктури компанії. Триває слідство
Чи в небезпеці інші компанії?
Який висновок можна зробити з цієї ситуації? Це те, що всі українські компанії повинні бути готові протидіяти таким атакам. Це стосується не тільки українських компаній – наразі російські хакери не мають жодних обмежень в атаках на країни, які є “недружніми” для Росії. Оскільки хакери в таких атаках здебільшого мають на меті лише вандалізм і не намагаються монетизувати свою роботу, наслідки можуть бути швидкими і незворотними. Надійна, добре продумана система безпеки має бути обов’язковою для всіх компаній.
USB-хробак LitterDrifter тісно пов’язаний із сумнозвісною групою “Gamaredon”, яка походить з Росії. Він націлений на українські організації. Це ще один інструмент у арсеналі російсього державного кібершпигунства. Це не лише демонструє адаптивність та інноваційність “Гамаредона”, але й піднімає питання про потенційні геополітичні наслідки цієї новітньої кіберзброї.
Хто такі Gamaredon?
Служба безпеки України (СБУ) пов’язала співробітників “Гамаредона” з Федеральною службою безпеки Росії (ФСБ), що додає діяльності групи геополітичного характеру. ФСБ, відповідальна за контррозвідку, боротьбу з тероризмом і військовий контроль, проливає світло на стратегічний і спонсорований державою характер операцій “Гамаредона”. Незважаючи на постійно змінний характер цілей, інфраструктура Gamaredon демонструє стійкі закономірності, що підкреслює необхідність ретельної перевірки з боку експертів з кібербезпеки.
LitterDrifter – Хробак у 2023?
Один з новітніх інструментів “Гамаредона” – черв’як LitterDrifter, що розповсюджується через USB накопичувачі. Це шкідливе програмне забезпечення, написане на VBS, демонструє адаптивність та інноваційність “Гамаредона”. Незважаючи на застарілий номінальний тип шкідника, він містить досить багато функцій, які необхідні в сучасних кібератаках.
Як частина інфраструктури APT (advanced persistent threat), LitterDrifter вносить глобальний аспект в діяльність “Гамаредона”. Окрім запланованих цілей в Україні, цей черв’як залишив по собі потенційні інфекції в таких країнах, як США, В’єтнам, Чилі, Польща, Німеччина і навіть у Гонконгу. Глобальне поширення LitterDrifter збільшує загальний потенціал загрози для кібератак світового масштабу.
Основна функціональність черв’яка LitterDrifter полягає в тому, що він є інструментом віддаленого доступу. Іншими словами, це бекдор з можливостями саморозповсюдження, подібними до тих, які були притаманні вірусам-хробакам. Він функціонує як прихована несанкціонована точка доступу в комп’ютерній системі, програмному забезпеченні або мережі, яка дозволяє отримати доступ до цільового середовища. У кібератаках бекдори здебільшого діють як інструменти початкового доступу та розвідки, які потім “відкривають двері” для подальшого проникнення шкідливого програмного забезпечення.
Діяльність Гамаредона проти України
Група “Гамаредон” проводить тривалу та цілеспрямовану кампанію кібершпигунства проти України та її структур. До її складу входять військові, неурядові організації, судові, правоохоронні та неприбуткові установи. Активність групи вперше зафіксована щонайменше у 2013 році. Група, яку підозрюють у зв’язках з російським кібершпигунством, послідовно зосереджується на проникненні в українські установи. Про це свідчить вибір україномовних приманок та основних цілей у регіоні.
LitterDrifter ще один інструмент, який використовує ця група у своїх різноманітних кіберопераціях. Як виявили дослідники, що здійснюють постійний моніторинг та аналіз, Gamaredon використовує LitterDrifter разом з іншими інструментами та шкідливим програмним забезпеченням для досягнення своїх цілей. Це ще більше зміцнило статус угруповання як APT, сконцентрованої на перешкоджанні інтересам України та її союзників.
Як захиститися від LitterDrifter?
У міру того, як LitterDrifter демонструє свій глобальний вплив, з’являється очевидний стимул до об’єднаного посилення глобального захисту у кіберпросторі. Здатність черв’яка долати кордони підкреслює актуальність міжнародної співпраці у боротьбі з кіберзагрозами та їх пом’якшенні.
Будьте обережні, підключаючи USB-накопичувачі до комп’ютера, особливо якщо вони з невідомих або ненадійних джерел. Використовуйте USB-накопичувачі, які мають режим “тільки для читання”, щоб запобігти несанкціонованому запису.
Регулярно створюйте резервні копії важливих даних і зберігайте їх у безпечному місці. У разі атаки зловмисників наявність останніх резервних копій допоможе вам відновити систему без сплати викупу.
Дотримуйтесь найкращих правил безпеки, таких як використання надійних і унікальних паролів, двофакторна автентифікація та обмеження привілеїв користувачів. Ці заходи можуть створити додаткові рівні захисту від різних кіберзагроз.
Слідкуйте за останніми новинами про загрози та слабкі місця у сфері кібербезпеки. Обізнаність у сфері загроз, що постійно змінюється, дозволить вам відповідно реагувати на них і адаптувати свої заходи безпеки.
Компанія Mandiant розкрила деякі подробиці про кібератаку на енергосистему України, яку організувала російська хакерська група Sandworm. Ця атака посприяла на відключення електроенергії на електричній підстанції в Україні в жовтні 2022 року.
Російські хакери Sandworm спричинили відключення електроенергії в Україні на тлі ракетних ударів
Як виявилося, ракетні обстріли енергетичної інфраструктури – не єдине, що залишає нас з вами без електроживлення. За даними експертів з кібербезпеки, російські хакери атакували системи управління енергетичною інфраструктурою України за кілька днів до ракетних обстрілів. Ці атаки призвели до того, що системи управління були дестабілізовані, а отже менш керовані у випадку надзвичайних ситуацій.
Одна з таких груп – російська хакерська група Sandworm, чий спосіб дій полягав у використанні методів оперативної технології (OT). Це дозволило зловмисникам маніпулювати автоматичними вимикачами підстанції-цілі, що призводило до незапланованого відключення електроенергії. Саме цей стратегічний крок збігся з серією масованих ракетних ударів по об’єктах критичної інфраструктури по всій Україні. Дослідники з Mandiant підкреслюють, що атака мала двоетапний характер. Пізніше, Sandworm розгорнув новий варіант шкідливого програмного забезпечення CaddyWiper в ІТ-середовищі цільового об’єкта інфраструктури.
Атаки російських хакерів на українську енергосистему
Кібератаки на українську енергосистему є серйозною загрозою для національної безпеки країни. Одна з найбільш відомих кібер атак на українську енергосистему відбулася 23 грудня 2015 року. У цій атаці було використане шкідливе ПЗ BlackEnergy, яке було розроблене тією ж групою Sandworm і потрапило у цільові системи за допомогою соціальної інженерії. Внаслідок цієї атаки було відключено 30 підстанцій у Івано-Франківській області. Без світла залишилися близько 230 тисяч споживачів. Відновлення електропостачання тривало близько шести годин.
Наступна серйозна атака цього угрупування відбулася вже під час повномасштабного вторгнення – у жовтні 2022 року. Цей інцидент є частиною наполегливих зусиль Sandworm, спрямованих на виведення з ладу та компрометацію української енергосистеми. У попередніх атаках угруповання використовувало різні шкідливі програми, в тому числі Industroyer. Вибір нового варіанту CaddyWiper для цієї останньої атаки свідчить про те, що тактика Sandworm еволюціонує та адаптується.
Хронологія атаки 2022 року
Початковий вектор цієї кібер-фізичної атаки залишається незрозумілим, але вважається, що використання методів LotL прискорило її виконання, мінімізувавши час і ресурси, необхідні для успішної реалізації. Вторгнення відбулося приблизно в червні 2022 року, коли Sandworm отримав доступ до середовища операційних технологій (ОТ) через гіпервізор, на якому був розміщений екземпляр системи диспетчерського управління та збору даних (SCADA) для підстанції-жертви.
10 жовтня 2022 року Sandworm використав файл образу оптичного диска (ISO) для запуску шкідливого ПЗ, здатного вимкнути підстанції, тим самим спричинивши незаплановане відключення електроенергії. Через два дні після події, використовуючи OT група розгорнула новий варіант CaddyWiper в ІТ-середовищі жертви, потенційно спрямований на подальші перебої в роботі та вилучення артефактів для судової експертизи. Складності інциденту додає час проведення атаки, який тісно пов’язаний з початком скоординованих ракетних ударів по об’єктах критичної інфраструктури в багатьох містах України.
Як выдбувалось зараження підстанціі
Атака Living off the land
Living off the land (LOTL, буквально “той, що живе поза суходолом”) – це назва різновиду безфайлового шкідливого програмного забезпечення та супутньої йому техніки кібератаки LOLbins. У цьому методі кіберзлочинець використовує саморобні інструменти та нешкідливі програми в системі жертви для проведення атаки. LOTL-атаки відрізняються від традиційних атак шкідливих програм відсутністю будь-якого сліду на дисках цільової системи: шкідник зберігається і виконується у оперативній пам’яті системи.
Для проведення атаки зловмисник використовує вже наявні в середовищі інструменти, такі як PowerShell, Windows Management Instrumentation (WMI) або інструмент для зламу системи аутентифікації Mimikatz. Такі атаки складніше виявити, оскільки хакер не використовує типові для кібератак види шкідливого ПЗ, і не залишає слідів на диску. Це ускладнює пошук відомих скриптів або файлів шкідливого програмного забезпечення традиційними засобами безпеки. Таким чином, хакер може залишатися непоміченим у середовищі жертви тижнями, місяцями або навіть роками через таку недосконалість в інструментах безпеки.
Наслідки атаки та їх вирішення
Наразі Mandiant не розголошує інформацію про об’єкт, на який була спрямована атака, тривалість відключення електроенергії та масштаби впливу на місцеве населення. Однак експерти підкреслили безпосередню загрозу цієї атаки, особливо для українських об’єктів критичної інфраструктури, що використовують систему диспетчерського управління MicroSCADA.
Компанія закликала власників активів по всьому світу, враховуючи активну діяльність Sandworm та широке розповсюдження продуктів MicroSCADA, вжити проактивних заходів для пом’якшення своїх тактик, методів та процедур, спрямованих проти ІТ та OT систем. Кібератака Sandworm в Україні слугує суворим нагадуванням про еволюцію кіберзагроз та нагальну потребу в глобальній пильності та проактивних заходах з кібербезпеки.
У наш час соціальні мережі, такі як Instagram, стали невід’ємною частиною нашого повсякденного життя. Вони не тільки надають можливість спілкування, а й стали платформою для реклами різноманітних товарів і послуг. Однак, серед усього розмаїття реклами, часто можна натрапити на шахрайство у Інстаграм, магазини, що пропонують товари з величезними знижками. Сьогодні ми розглянемо ключові ознаки таких магазинів, а також способи, як уберегти себе від шахрайства.
Шахрайські магазини наповнюють Інстаграм
Як активні користувачі Інстаграму, всі ми знаємо, як дратує реклама через кожні 1-2 пости або сторіс. Поки когось ця реклама дратує, хтось на цьому заробляє, і не завжди чесно. Наприклад, колись було модно замовляти товари на AliExpress і продавати в Україні трохи дорожче. Нині до цієї моди долучилися такі погані звички як задирати ціну в 10 разів, писати неправдивий опис товару (а інколи писати відверту єресь) та використовувати соціальну інженерію.
Приклад реклами в Інстаграм
Оскільки зараз створити візуально гарний сайт не є проблемою, кмітливі манімейкери створюють сайти, на яких продають корисні товари для дому. Іноді це може бути односторінковий сайт, присвячений одному певному товару – далі ми розглянемо один із таких детальніше. Хоча ці сайти можуть відрізнятися, у них є деякі спільні риси, знаючи які ви зможете їх розпізнати, а отже уникнути неприємностей. Важливе уточнення – уся ця інформація поширюється на будь-яку рекламу, не лише в Інстаграм.
Ознаки шахрайського магазину
Соціальна інженерія
Перше і найголовніше, чим подібні магазини заманюють покупців, це великі знижки в 30-70%. Взагалі знижки – це нормально, проте у звичайних магазинах вони коливаються від 3 до 15% і лише інколи бувають понад 20%. Встановлювати дисконт у 50-60-70%, торгуючи собі у збуток, не буде жоден продавець.
Наступне, чим сайт привертає увагу, це таймер зворотного відліку, після закінчення якого ця “акція” закінчиться. Іноді він може супроводжуватися дописом що акційних товарів зі знижкою залишилося всього кілька штук. Це все робиться з однією метою: утримати потенційного покупця на сайті та змусити його купити товар. При цьому кнопка “Купити зараз” з’являється через кожні кілька елементів на сайті.
Таймери та знижки – класичний набір шахрайського сайту
Відгуки на цих сайтах заслуговують окремої уваги. Незалежно від того, що продають, відгуки будуть хвалебні, всі як один. Шахраї явно намагаються надати сайту вигляду справжнього додавши відгуки. Деякі з них навіть містять фото товару, але результат виглядає щонайменше непереконливо. А від розповідей про “це допомогло мені, моїй бабусі та сусідам” у коментарях до зубної щітки можна добре посміятися.
Завжди позитивні відгуки – запорука успішної торгівлі. Принаймі, так вважають ці продавці.
Шаблонна структура сайту
Це були найбільш типові ознаки, тепер перейдемо до менш очевидних. Якщо розглянути всі ці вебсайти, які наповнили Інстаграм, можна помітити таку річ. Усі вони зроблені за одним шаблоном мобільного веб сайту. Вони можуть відрізнятися схемою кольорів, дизайном елементів, товарами, але їхня структура завжди однакова:
фото/відео товару
таймер і напис “залишилося хх товарів зі знижкою”
дві ціни та знижка в 30-70%
форма, що пропонує ввести ваше ім’я і номер телефону, і кнопка “замовити”
опис товару
кнопка “купити зараз” і напис “залишилося хх товарів зі знижкою”
характеристики товару
ще одна кнопка “купити зараз” і напис “залишилося хх товарів зі знижкою”
відгуки покупців
ще фото, таймер і ціна, а також форма замовлення і кнопка “купити зараз”
в самому низу сторінки контактна інформація.
Послідовність елементів на сайті може відрізнятись, але вони завжди присутні та всім виглядом спонукають користувача купити товар якомога швидше. Крім того, є ще одна особливість: оскільки всі ці сайти створюються під мобільні пристрої, у них відсутня десктопна версія. Тож, навіть на ПК вони виглядають як на телефоні – вузька смуга контенту по центру екрана і величезні білі поля по краях. До того ж якщо вбити в Google номер телефону, який вказано внизу сторінки, у результатах відобразиться ще купа подібних веб сайтів. Який талановитий і багатоспрямований бізнесмен, виходить.
Такі різні, але такі схожі
Незрозумілий опис товару
Ще однією особливістю шахрайських інтернет-магазинів є вкрай розмита ідентифікація моделі товару. У деяких випадках модель взагалі не вказують. Причина проста – вам намагаються продати низькопробну підробку, іноді під виглядом оригіналу. Крім того, нерідко на цих сайтах фото та опис взято від оригінального товару, а під час отримання виявляється, що це зовсім інший товар.
Підозрілий URL і зони доменних імен
Як і будь-яке шахрайство, ці інтернет-магазини не про довгострокове використання. Вони можуть періодично змінювати адреси та вміст сторінки. Наприклад, сторінка, на якій вчора продавався робот пилосмок, сьогодні продає стайлер для волосся. Оскільки зазвичай адреси таких сайтів містять випадкові слова, у них немає прив’язки до конкретного товару. Зону доменних імен також обирають із міркувань “дешевше”: найчастіше це .top, .fun, .site, .xyz, і лише іноді – .ua або .com.
Короткий термін активності
Якому сайту ми схильні більше довіряти – тому, що лише вчора зареєстрований, чи тому, який уже 10 років у мережі? Питання риторичне. Отож за допомогою будь-якого сервісу перевірки інформації про сайт, можна побачити дані про дату реєстрації домену та іноді – дані про власника. Шахрайські сайти рідко живуть довше 2-3 тижнів, тому велика ймовірність того, що ви побачите саме такі терміни.
Крім сервісів для перевірки сайтів, пропонуємо скористатися нашим безкоштовним сервісом GridinSoft Online Domain Scanner. Він не тільки надасть вичерпну інформацію про сайт, а й винесе свій вердикт щодо його надійності.
Детальний розбір
Ми не просто так в попередньому пункті згадали робот пилосмок і стайлер. Спочатку, ми хотіли розібрати інтернет-магазин, який продавав робот-пилосос за 699 грн. Однак, на момент написання цієї статті за цією адресою вже знаходилася інша сторінка, на якій продається стайлер для волосся. Але так навіть на краще – маємо еталонний приклад шахрайського інтернет-магазину.
Хоча тут немає таймера і деяких вищеописаних елементів, ми маємо за що зачепитися. Величезна знижка, подвійна ціна, коментарі та кнопка “купити зі знижкою”, після натискання якої з’являється модальне вікно, що пропонує ввести ім’я, прізвище, адресу доставки та номер телефону. Вже непоганий улов інформації для перепродажу її рекламодавцям, чи не так?
Далі найцікавіше: переглянувши всю сторінку, зрозуміти що це за модель так і не вдалося. Такий трюк робиться, щоб ускладнити пошук цього товару в інтернеті. Однак, пошук за картинкою все ж показав, що це за товар і скільки він коштує на інших сайтах. Отож на інших майданчиках цей товар коштує ще дешевше.
Ба більше, на розетці ми можемо подивитися реальні відгуки та фото товару. До речі, відгуки сильно відрізняються від тих, що є на сайті. І це не дивно, адже це найдешевша копія Dyson Airwrap. Вартість оригіналу – аж ніяк не 500 грн, а від 15000 грн. І це тільки один з багатьох прикладів, коли під виглядом якісного товару користувачеві намагаються продати підробку дуже низької якості.
Зверху фейкові відгуки на шахрайському сайті, знизу – від тих, хто дійсно купив цей товар
Ризики пов’язані з шахрайськими інтернет-магазинами
Перше, чим ви ризикуєте, купуючи в такому магазині – це розголошення ваших персональних даних. Такі сайти працюють за схемою “залиште дані, ми вам передзвонимо”. Тобто, вам необхідно залишити ім’я прізвище та номер телефону, що вже є непоганим уловом разом з інформацією про товар, яким ви зацікавилися. Як мінімум, таргетована реклама і спам дзвінки з пропозиціями на кшталт “купи слона” вийдуть на новий рівень.
Наступний ризик – це фінансові втрати. Можливо вам і здається, що ви заощадили, але у шахраїв зовсім інші плани. Отримати підробку замість обіцяного оригінального товару – ще не найгірший варіант: у переважній кількості подібних скамів шахраї беруть передплату, після чого зникають. Іноді вони можуть відправити вам номер накладної в службі доставки, але не дивуйтеся, якщо в коробці буде навіть не підробка, а жменя щебеню.
Що далі?
Хоча Meta Inc запевняє, що займається боротьбою з шахрайськими оголошеннями, ми спостерігаємо зворотну тенденцію. Таких оголошень стає дедалі більше, і це негативно впливає на чесних продавців, які просто хочуть прорекламувати свій товар через Інстаграм. Однак заради справедливості, варто зазначити, що деякі рекламні оголошення дійсно рекламують легітимні товари за адекватними цінами. Однак, на тлі рясних фейкових оголошень вони втрачають будь-який сенс, оскільки користувачі за замовчуванням не довіряють рекламним оголошенням. Це було особливо помітно після минулої хвилі фейкових розпродажів павербанків Xiaomi, в яких замість акумуляторів були “банки” з піском.
Чи вся реклама в інстаграмі є шахрайською? Ні. Чи варто довіряти рекламним оголошенням про продаж товарів в інстаграмі? Також ні. Чи варто купувати щось через них? Скоріше ні. То ж на кого розрахована вся ця схема? А розрахована вона на довірливих інтернет-користувачів, а також тих, хто не дуже розбирається в цьому і ведеться на гучні заяви про космічні знижки. Однак, варто сказати кілька слів про користь реклами в Instagram. Наприклад, багато майстрів ручної роботи таким чином рекламують свою продукцію. Безпечна реклама відрізняється від шахрайської тим, що вона приводить на сторінку продавця в Інстаграм. Тобто під час переходу за такими посиланнями користувач не залишає соц. мережу. Хоча і тут є виключення, наприклад великі магазини теж можуть іноді рекламуватися таким чином. Крім того, багато притулків у такий спосіб надають розголосу своїм діям, і це допомагає їм збирати гроші на лікування/перетримку тварин.
Так виглядає реклама офіційного магазину
У будь-якому разі, щоб уникнути подібних маніпуляцій, важливо зберігати голову холодною і переглядати додаткову інформацію перед здійсненням купівлі. Якщо вас зацікавив товар у незнайомому магазині, проведіть невеличке дослідження, порівняйте ціни, ознайомтесь з репутацією магазину і прочитайте незалежні відгуки. Це допоможе вам визначити надійність магазину. Будьте пильними та не піддавайтесь на ілюзію невідкладності. Будь-яка купівля має бути добре обдуманою і ґрунтуватися на вашому реальному інтересі та потребах. Нижче ми зібрали перелік шахрайських інтернет-магазинів, з якими ви можете ознайомитися:
Як частина команди GridinSoft, я з гордістю оголошую про реліз нашого власного онлайн-сервісу сканування на віруси! Тепер ви можете сканувати файл і отримати всю інформацію про нього безкоштовно, використовуючи GridinSoft Online Virus Checker. Давайте розглянемо його основні функції та дізнаємось, в чому він кращий і коли сканер – це найкращий варіант для використання.
GridinSoft випускає безкоштовний онлайн-сканер файлів на віруси
Перевірка файлу, який ви щойно завантажили, є надзвичайно важливою, особливо коли маєте справу з незнайомими джерелами. Відкривати антивірусне програмне забезпечення та запускати повний скан для одного файлу не є раціональним за часом – і саме тут блищить онлайн-сервіс сканування на віруси. GridinSoft пропонує свій безкоштовний онлайн-сканер вірусів для всіх – просто завантажте файл, що вас цікавить, і ви побачите результат!
Наш онлайн-сканер вірусів підтримує використання хмарних баз даних і додаткових евристичних модулів – так само, як і наш антивірус GridinSoft Anti-Malware для ПК. Це створює позитивний контраст з можливостями сканування нашим антивірусом на платформі VirusTotal. Там з технічних причин не використовуються наші хмарні бази даних та багатоетапні евристичні механізми. Крім того, GridinSoft Online Virus Checker доступний на кількох мовах – ще одна зручність для всіх.
Проте на жаль, на веб-платформі все ще неможливо впровадити повноцінний аналіз файлу під час його виконання. Для кращого захисту і можливості сканування всієї системи користуйтеся GridinSoft Anti-Malware.
Як перевірити файли на віруси?
Використання онлайн-сканера вірусів GridinSoft досить просте. Все, що вам потрібно зробити, – це перейти за цим посиланням і натиснути “Вибрати файл”, щоб відкрити вікно завантаження. Знайдіть і натисніть на файл, який ви хочете просканувати, а потім натисніть “Відкрити“.
За кілька секунд сканер покаже результат. Є 3 можливі результати — Безпечний, Зловмисний і Підозрілий.
Значення результатів досить очевидне, але варто окремо пояснити останній вид результату. Якщо під час сканування за нашими базами нічого підозрілого виявлено не було, а інші антивіруси відмічають файл як шкідливий, ви побачите позначку “Підозрілий”. Це означає, що з цим файлом Ви повинні поводитися з особливою обережністю.
Нижче висновку про файл ви зможете знайти його деталі. Аналіз розкриває структуру PE, підписи сертифікатів, структура файлу та інформацію про версію. Це може бути корисним для розуміння походження файлу.
Розкажіть нам про ваш досвід користування
Ми будемо раді отримати вашу думку щодо нашого безкоштовного онлайн-сканера вірусів. Будь-яку нову функціональність слід тестувати, а також адаптувати до потреб наших користувачів. Поділіться своєю думкою та пропозиціями через нашу контактну форму або залиште їх у розділі коментарів під цим записом. Ми вдячні за будь-яку інформацію, що стосується Online Virus Checker!
Агентство Рейтер встановило, що хакери, яких експерти з кібербезпеки пов’язують із Росією, намагалися атакувати американські ядерні лабораторії. Угруповання Cold River, що підтримує інформаційні операції Кремля, пов’язане з жителем Сиктивкара Андрієм Корінцем, вважають експерти.
Як стверджують журналісти, у серпні-вересні минулого року хакери з угруповання Cold River спробували проникнути у внутрішні мережі національної лабораторії Брукхейвен у штаті Нью-Йорк, Аргонської національної лабораторії в Чикаго і Ліверморської національної лабораторії в Каліфорнії. Усіма трьома лабораторіями керує міністерство енергетики США.
В агентстві Рейтер встановили, що пов’язані з хакерською групою люди намагалися отримати паролі від внутрішніх мереж установ. Та створювали фальшиві логін-екрани і надсилаючи електронні листи їхнім співробітникам. З якою метою вони хотіли зламати лабораторії, журналістам невідомо. У міністерстві енергетики США і російському посольстві у Вашингтоні не відповіли на запитання агентства.
Зв’язок цих спроб атаки з угрупованням Cold River підтверджують п’ять експертів з індустрії кібербезпеки – хакери залишили цифрові сліди, які раніше були пов’язані з Cold River.
Активність Cold River значно зросла з початком повномасштабного російського вторгнення в Україну, зазначають опитані агентством експерти з кібербезпеки. Перші кібератаки проти американських лабораторій почалися незабаром після прибуття місії Агентства ООН з атомної енергетики (МАГАТЕ) на захоплену російськими військами Запорізьку АЕС. Метою місії було забезпечити безпеку і за можливості встановити демілітаризовану зону навколо станції.
Cold River потрапила в поле зору західних експертів після атаки на системи британського міністерства закордонних справ 2016 року і відтоді, на думку експертів, брала участь у кількох десятках інформаційних операцій.
У травні хакери опублікували електронні листи колишнього глави британської розвідслужби МІ-6. В липні вони атакували сайти уряду Литви незабаром після того, як її влада заблокувала транспортування вантажів, які прямують до Росії з Калінінградської області через литовську територію. Тоді в телеграм-каналі однієї з відомих російських хакерських груп з’явився заклик атакувати литовські держустанови – разом зі списком цілей. Від початку війни хакери атакували державні сайти та внутрішні системи розвідслужб Польщі, Румунії, Молдови та Болгарії.
Також Cold River пов’язують щонайменше з трьома фейковими вебсайтами, що імітують сайти НКО, які розслідують воєнні злочини в Україні. Принаймі так кажуть у французькій компанії SEKOIA.IO. Кібератаки почалися незабаром після публікації в жовтні висновків незалежної комісії ООН про те, що російські військові несуть відповідальність за переважну більшість військових злочинів в Україні. У SEKOIA.IO вважають, що метою цих спроб злому був збір Росією інформації про свідчення військових злочинів.
Ряд помилок хакерів
За останні роки хакери з Cold River зробили низку помилок, які дали змогу експертам із кібербезпеки принаймні частково їх відстежити і підтвердити їхній зв’язок із Росією, кажуть експерти з компаній Google, BAE і Nisos. Кілька пов’язаних із сайтами електронних адрес, як виявилося, належать 35-річному жителю Сиктивкара Андрію Корінцу, відомому в ІТ-середовищі міста.
Біллі Леонард, експерт із державних хакерських операцій із Google, вважає, що Корінець пов’язаний з операціями Cold River. “Google ідентифікувала цю людину як пов’язану з групою Cold River та їхніми ранніми операціями”, – каже він.
Директор з безпеки компанії Nisos Вінцас Чажунас теж пов’язує Корінця з цими хакерами і називає їх угрупування “центральною фігурою” в хакерській спільноті Сиктивкара. Зареєстровані на його ім’я електронні адреси пов’язали зі створеними хакерами сайтами і самі журналісти, за допомогою інструментів Constella Intelligence і DomainTools.
Сам Корінець відповів на запитання агентства. Він сказав, що його єдиний хакерський досвід мав місце кілька років тому. Тоді коли російський суд призначив йому штраф за кібератаку.
“Чи мав Корінець стосунок до операцій Cold River після 2020 року, незрозуміло. Він не став пояснювати, як пов’язані з операціями хакерів його електронні адреси, і перестав відповідати на дзвінки та листи”, – пише агентство.
З моменту запуску чат-бота ChatGPT люди використовували його для написання есе, сценаріїв, коду, а також спілкувалися про фінанси та дізнавалися нове. Цього разу чат-бот використовували для написання шкідливого коду. Про це з посиланням на ArsTechnica пише MC.today.
Експерти з кібербезпеки Check Point Research повідомили, що після запуску ChatGPT учасники форумів кіберзлочинності використовували чат-бот для написання шкідливого програмного забезпечення та фішингових листів. Зазначається, що у деяких користувачів навіть немає досвіду програмування.
У компанії додали, що поки зарано говорити, чи стане ChatGPT улюбленим інструментом Даркнету. Однак уже зараз можна помітити інтерес кіберзлочинців до можливостей чат-бота. В одному з прикладів розповідається, як чат-бот написав скрипт на мові Python, який у разі доопрацювання може слугувати програмою-вимагачем. За допомогою цього програмного забезпечення зловмисники можуть шифрувати дані на комп’ютері користувача.
Пост на хакерському форумі, який описує використання ChatGPT для створення шкідливого ПЗ
В іншому прикладі програмне забезпечення розробили для створення майданчика для онлайн-торгівлі. На ньому здійснюється купівля або обмін скомпрометованих акаунтів, даних банківських карт, шкідливих програм та інших незаконних віртуальних товарів. Скрипт використовував сторонній інтерфейс для отримання поточних цін на криптовалюту. Це допомагає користувачеві встановлювати ціни під час здійснення покупок.
Обговорення використання ChatGPT для створення скриптів для маркетплейсів Dark Web
Дослідники Check Point раніше намагалися розробити шкідливе програмне забезпечення за допомогою ChatGPT. Чат-бот створив “переконливий фішинговий лист”, у якому потенційній жертві повідомляють про блокування акаунта і пропонують відкрити вкладений файл Excel із вбудованим VBA-макросом (його також створив штучний інтелект).
Хоча умови ChatGPT забороняють його використання в незаконних або зловмисних цілях, у дослідників не виникло проблем зі зміною своїх запитів, щоб обійти ці обмеження.
