Позначка: Кібератака

Фішингова кампанія APT28 націлена на військових України

Експерти з кібербезпеки виявили нову фішингову кампанію, яку веде відома група хакерів APT28. Ця група пов’язується з ГРУ Росії та в останні роки активно займається кібершпигунством. Цього разу їх фішингова кампанія спрямована проти українських військових з метою крадіжки даних.

Коротко про APT28

Хакерська група APT28, також відома як Pawn Storm, Fancy Bear і BlueDelta існує щонайменше з 2004 року. Вони в основному зосереджуються на зборі розвідувальної інформації для російського уряду. Протягом років вони атакували різні цілі, включаючи американських політиків, організації та навіть ядерні об’єкти в США. Через високу професійність APT28 становить серйозну кіберзагрозу для своїх цілей. Останні атаки групи APT28 на військові структури України включають в себе прицільний фішинг (англ. spear phishing).

Фішингова кампанія APT28 атакує українських військових

Фішингова кампанія включає в себе розсилку електронних листів, що містять експлойти. Хакери маскують їх під розсилку військової інформації щодо ситуації в Україні. Лист містить посилання, при відкритті якого відбувається атака викрадення фрейму: користувачу пропонується увійти в систему через побічне вікно, викликане спеціальним скриптом.

APT28 проводить фішингові атаки проти українських військовослужбовців

Облікові дані введені у таку форму одразу викрадаються хакерами. В подальшому, за допомогою доступу до цієї поштової скриньки, вони можуть отримати доступ і до інших ресурсів, які прив’язані до неї.

Втім, така тактика не є новою для APT28. Згідно з даними CERT-UA, один з використаних методів включає розсилку HTML-файлів, які імітують вебінтерфейси таких сервісів як UKR.NET та Yahoo.com, з метою крадіжки логінів та паролів через HTTP POST-запити. Ці дії включали ексфільтрацію даних через скомпрометовані пристрої.

Один із сценаріїв фішингової атаки:

  • Здійснюється розсилка фішингових листів, замасковані як повідомленнями від Команди реагування на кіберінциденти України (CERT-UA). Ці листи мали заголовок “Кібератака” та маскувалися під актуальні новини та інформацію щодо кібербезпеки. В листах містяться посилання, які ведуть на фішингові сторінки і сторінки з експлойтами.
  • Після того, як жертва відкриває таке посилання, сайт збирає інформацію про місцезнаходження та IP-адресу користувача. У випадку фішингової сторінки, користувачу пропонується ввести облікові дані до сервісу, під який така сторінка замаскована. Окрім цього, експлойти браузера могли бути використані для інфікування цільової системи.

Методи боротьби

Боротьба з такими атаками вимагає від українських військових та організацій постійної уваги до кібербезпеки, включаючи оновлення програмного забезпечення, навчання персоналу основам кібергігієни та співпрацю з міжнародними партнерами для обміну інформацією про загрози. Важливо повідомляти про підозрілі листи відповідальним службам кібербезпеки.

Російські хакери Sandworm атакували українську енергоінфраструктуру на тлі ракетних ударів

Компанія Mandiant розкрила деякі подробиці про кібератаку на енергосистему України, яку організувала російська хакерська група Sandworm. Ця атака посприяла на відключення електроенергії на електричній підстанції в Україні в жовтні 2022 року.

Російські хакери Sandworm спричинили відключення електроенергії в Україні на тлі ракетних ударів

Як виявилося, ракетні обстріли енергетичної інфраструктури – не єдине, що залишає нас з вами без електроживлення. За даними експертів з кібербезпеки, російські хакери атакували системи управління енергетичною інфраструктурою України за кілька днів до ракетних обстрілів. Ці атаки призвели до того, що системи управління були дестабілізовані, а отже менш керовані у випадку надзвичайних ситуацій.

Одна з таких груп – російська хакерська група Sandworm, чий спосіб дій полягав у використанні методів оперативної технології (OT). Це дозволило зловмисникам маніпулювати автоматичними вимикачами підстанції-цілі, що призводило до незапланованого відключення електроенергії. Саме цей стратегічний крок збігся з серією масованих ракетних ударів по об’єктах критичної інфраструктури по всій Україні. Дослідники з Mandiant підкреслюють, що атака мала двоетапний характер. Пізніше, Sandworm розгорнув новий варіант шкідливого програмного забезпечення CaddyWiper в ІТ-середовищі цільового об’єкта інфраструктури.

Атаки російських хакерів на українську енергосистему

Кібератаки на українську енергосистему є серйозною загрозою для національної безпеки країни. Одна з найбільш відомих кібер атак на українську енергосистему відбулася 23 грудня 2015 року. У цій атаці було використане шкідливе ПЗ BlackEnergy, яке було розроблене тією ж групою Sandworm і потрапило у цільові системи за допомогою соціальної інженерії. Внаслідок цієї атаки було відключено 30 підстанцій у Івано-Франківській області. Без світла залишилися близько 230 тисяч споживачів. Відновлення електропостачання тривало близько шести годин.

Наступна серйозна атака цього угрупування відбулася вже під час повномасштабного вторгнення – у жовтні 2022 року. Цей інцидент є частиною наполегливих зусиль Sandworm, спрямованих на виведення з ладу та компрометацію української енергосистеми. У попередніх атаках угруповання використовувало різні шкідливі програми, в тому числі Industroyer. Вибір нового варіанту CaddyWiper для цієї останньої атаки свідчить про те, що тактика Sandworm еволюціонує та адаптується.

Хронологія атаки 2022 року

Початковий вектор цієї кібер-фізичної атаки залишається незрозумілим, але вважається, що використання методів LotL прискорило її виконання, мінімізувавши час і ресурси, необхідні для успішної реалізації. Вторгнення відбулося приблизно в червні 2022 року, коли Sandworm отримав доступ до середовища операційних технологій (ОТ) через гіпервізор, на якому був розміщений екземпляр системи диспетчерського управління та збору даних (SCADA) для підстанції-жертви.

10 жовтня 2022 року Sandworm використав файл образу оптичного диска (ISO) для запуску шкідливого ПЗ, здатного вимкнути підстанції, тим самим спричинивши незаплановане відключення електроенергії. Через два дні після події, використовуючи OT група розгорнула новий варіант CaddyWiper в ІТ-середовищі жертви, потенційно спрямований на подальші перебої в роботі та вилучення артефактів для судової експертизи. Складності інциденту додає час проведення атаки, який тісно пов’язаний з початком скоординованих ракетних ударів по об’єктах критичної інфраструктури в багатьох містах України.

Схема зараження пыдстанції
Як выдбувалось зараження підстанціі

Атака Living off the land

Living off the land (LOTL, буквально “той, що живе поза суходолом”) – це назва різновиду безфайлового шкідливого програмного забезпечення та супутньої йому техніки кібератаки LOLbins. У цьому методі кіберзлочинець використовує саморобні інструменти та нешкідливі програми в системі жертви для проведення атаки. LOTL-атаки відрізняються від традиційних атак шкідливих програм відсутністю будь-якого сліду на дисках цільової системи: шкідник зберігається і виконується у оперативній пам’яті системи.

Для проведення атаки зловмисник використовує вже наявні в середовищі інструменти, такі як PowerShell, Windows Management Instrumentation (WMI) або інструмент для зламу системи аутентифікації Mimikatz. Такі атаки складніше виявити, оскільки хакер не використовує типові для кібератак види шкідливого ПЗ, і не залишає слідів на диску. Це ускладнює пошук відомих скриптів або файлів шкідливого програмного забезпечення традиційними засобами безпеки. Таким чином, хакер може залишатися непоміченим у середовищі жертви тижнями, місяцями або навіть роками через таку недосконалість в інструментах безпеки.

Наслідки атаки та їх вирішення

Наразі Mandiant не розголошує інформацію про об’єкт, на який була спрямована атака, тривалість відключення електроенергії та масштаби впливу на місцеве населення. Однак експерти підкреслили безпосередню загрозу цієї атаки, особливо для українських об’єктів критичної інфраструктури, що використовують систему диспетчерського управління MicroSCADA.

Компанія закликала власників активів по всьому світу, враховуючи активну діяльність Sandworm та широке розповсюдження продуктів MicroSCADA, вжити проактивних заходів для пом’якшення своїх тактик, методів та процедур, спрямованих проти ІТ та OT систем. Кібератака Sandworm в Україні слугує суворим нагадуванням про еволюцію кіберзагроз та нагальну потребу в глобальній пильності та проактивних заходах з кібербезпеки.

Російське угруповання хакерів Cold River атакувало ядерні лабораторії США

Агентство Рейтер встановило, що хакери, яких експерти з кібербезпеки пов’язують із Росією, намагалися атакувати американські ядерні лабораторії. Угруповання Cold River, що підтримує інформаційні операції Кремля, пов’язане з жителем Сиктивкара Андрієм Корінцем, вважають експерти.

Як стверджують журналісти, у серпні-вересні минулого року хакери з угруповання Cold River спробували проникнути у внутрішні мережі національної лабораторії Брукхейвен у штаті Нью-Йорк, Аргонської національної лабораторії в Чикаго і Ліверморської національної лабораторії в Каліфорнії. Усіма трьома лабораторіями керує міністерство енергетики США.

В агентстві Рейтер встановили, що пов’язані з хакерською групою люди намагалися отримати паролі від внутрішніх мереж установ. Та створювали фальшиві логін-екрани і надсилаючи електронні листи їхнім співробітникам. З якою метою вони хотіли зламати лабораторії, журналістам невідомо. У міністерстві енергетики США і російському посольстві у Вашингтоні не відповіли на запитання агентства.

Зв’язок цих спроб атаки з угрупованням Cold River підтверджують п’ять експертів з індустрії кібербезпеки – хакери залишили цифрові сліди, які раніше були пов’язані з Cold River.

Американське Агентство національної безпеки і британський Центр урядових комунікацій не стали коментувати активність угрупування.

Деталі про Cold River

Активність Cold River значно зросла з початком повномасштабного російського вторгнення в Україну, зазначають опитані агентством експерти з кібербезпеки. Перші кібератаки проти американських лабораторій почалися незабаром після прибуття місії Агентства ООН з атомної енергетики (МАГАТЕ) на захоплену російськими військами Запорізьку АЕС. Метою місії було забезпечити безпеку і за можливості встановити демілітаризовану зону навколо станції.

Cold River потрапила в поле зору західних експертів після атаки на системи британського міністерства закордонних справ 2016 року і відтоді, на думку експертів, брала участь у кількох десятках інформаційних операцій.

У травні хакери опублікували електронні листи колишнього глави британської розвідслужби МІ-6. В липні вони атакували сайти уряду Литви незабаром після того, як її влада заблокувала транспортування вантажів, які прямують до Росії з Калінінградської області через литовську територію. Тоді в телеграм-каналі однієї з відомих російських хакерських груп з’явився заклик атакувати литовські держустанови – разом зі списком цілей. Від початку війни хакери атакували державні сайти та внутрішні системи розвідслужб Польщі, Румунії, Молдови та Болгарії.

Також Cold River пов’язують щонайменше з трьома фейковими вебсайтами, що імітують сайти НКО, які розслідують воєнні злочини в Україні. Принаймі так кажуть у французькій компанії SEKOIA.IO. Кібератаки почалися незабаром після публікації в жовтні висновків незалежної комісії ООН про те, що російські військові несуть відповідальність за переважну більшість військових злочинів в Україні. У SEKOIA.IO вважають, що метою цих спроб злому був збір Росією інформації про свідчення військових злочинів.

Ряд помилок хакерів

За останні роки хакери з Cold River зробили низку помилок, які дали змогу експертам із кібербезпеки принаймні частково їх відстежити і підтвердити їхній зв’язок із Росією, кажуть експерти з компаній Google, BAE і Nisos. Кілька пов’язаних із сайтами електронних адрес, як виявилося, належать 35-річному жителю Сиктивкара Андрію Корінцу, відомому в ІТ-середовищі міста.

Біллі Леонард, експерт із державних хакерських операцій із Google, вважає, що Корінець пов’язаний з операціями Cold River. “Google ідентифікувала цю людину як пов’язану з групою Cold River та їхніми ранніми операціями”, – каже він.

Директор з безпеки компанії Nisos Вінцас Чажунас теж пов’язує Корінця з цими хакерами і називає їх угрупування “центральною фігурою” в хакерській спільноті Сиктивкара. Зареєстровані на його ім’я електронні адреси пов’язали зі створеними хакерами сайтами і самі журналісти, за допомогою інструментів Constella Intelligence і DomainTools.

Сам Корінець відповів на запитання агентства. Він сказав, що його єдиний хакерський досвід мав місце кілька років тому. Тоді коли російський суд призначив йому штраф за кібератаку.

“Чи мав Корінець стосунок до операцій Cold River після 2020 року, незрозуміло. Він не став пояснювати, як пов’язані з операціями хакерів його електронні адреси, і перестав відповідати на дзвінки та листи”, – пише агентство.

Хактивісти викрали 100,000 листів Організації з Атомної енергії Ірану

Організація з атомної енергії Ірану (AEOI) повідомила, що поштові сервери одного з її дочірніх підприємств були зламані. Раніше хакерська група Black Reward публікувала дані, викрадені з організації, заявивши, що всього вони викрали понад 100,000 повідомлень і 50 Гб інформації.

Нагадаємо, також повідомлялося, що експерти Microsoft розповіли про іранських хакерів, які атакують учасників конференції з безпеки.

AEOI повідомляє, що несанкціонована іноземна сторона з неназваної країни вкрала електронні листи з хакерського сервера, в яких здебільшого міститься щоденне листування співробітників і технічні нотатки. Організація пише, що вона негайно прийняла всі необхідні превентивні заходи і повідомила відповідним органам та посадовим особам, щоб вони були підготовлені до можливих нападів.

Бушерська АЕС на півдні Ірану

Представники AEOI повідомляють, що єдиною метою цього хаку було привернення уваги і псування іміджу організації в ЗМІ.

Хакерська група Black Reward взяла на себе відповідальність за атаку, назвавши себе іранською, але нібито виступила проти чинного уряду.

Наприкінці минулого тижня група випустила заяву на своєму каналі Telegram, в якій стверджувалось, що вона здатна зламати AEOI і витягти дані з 324 поштових скриньок організації, що містять в цілому більше 100,000 повідомлень і 50 Гб інформації.

Група Black Reward спочатку попередила, що вони опублікують свої знахідки протягом 24 годин, якщо іранський уряд не випустить всіх політичних в’язнів і затриманих протестувальників.

Хакери зазначили, що до оприлюднених відомостей увійшли «управлінські графіки різних частин Бушерської електростанції», паспорти і візи іранських та російських фахівців, які там працюють, а також «контракти та угоди про ядерний розвиток з вітчизняними та зарубіжними партнерами».

Крім того, хакери закликали експертів з відповідних галузей та ЗМІ публікувати звіти про розслідування цих документів. Після того, як іранська влада не підкорилася вимогам хакерів, Black Reward опублікували частину викрадених даних в тому ж каналі Telegram. Хакери випустили кілька RAR-архівів загальним обсягом 27 Гб, що містять 85,000 електронних листів, і зловмисники стверджують, що вони «ідеальні для дослідників».

Хакери пишуть, що вони ретельно дослідили всі дані перед публікацією, видаливши з дампу всі маркетингові повідомлення і спам, залишивши тільки цінний контент. Судячи з усього, цей витік містить паспорти і візи іранців і росіян, що працюють з АЕОІ, звіти про стан і експлуатацію обладнання, плани будівництва атомної електростанції, контракти, технічні звіти та іншу документацію. Можливо, ці викрадені дані можуть пролити світло на спроби Ірану розробити ядерну зброю.

Наприкінці свого повідомлення хакери згадують про 22-річну іранську жінку Махса Аміні, яку наприкінці вересня місцева віце-поліція затримала за неправильне носіння хіджабу. Незабаром після затримання вона померла. Потім влада опублікувала заяву, в якій стверджувалося, що Аміні раптово впала від серцевого нападу в центрі затримання і була доставлена в лікарню, де вона впала в кому і врешті решт померла.

Після смерті Аміні в соціальних мережах з’явилася інформація, що дівчина була замучена представниками поліції. Після цього по країні пішла хвиля антиурядових протестів, символом яких була Аміні. Послання хакерів також закінчується словами: «Життя та свобода для жінок».

Злам Cisco пов’язаний із російськомовними хакерами з Evil Corp

Експерти eSentire встановили, що інфраструктура, використана для злому Cisco у травні 2022 року, місяцем раніше використовувалася для компрометації не названої компанії, що займається HR рішеннями.

Дослідники вважають, що за цими інцидентами стоять зловмисники, пов’язані з Evil Corp. Нагадаю, ми також говорили, що Cisco не буде виправляти вразливість RCE у старих маршрутизаторах RV.

У серпні 2022 року представники Cisco підтвердили, що у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі. Тоді в компанії наголосили, що хакерам вдалося викрасти лише неконфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.

Аналітики eSentire тепер кажуть, що атака могла бути справою рук злочинця, відомого як mx1r. Вважається, що він є учасником однієї з «філій» відомого російськомовного угрупування Evil Corp (відома ще як UNC2165).

Дослідники пишуть, що доступ до мережі жертв спочатку здійснювався з використанням вкрадених облікових даних VPN, а потім зловмисники використовували готові інструменти для подальшого просування в мережі.

За допомогою Cobalt Strike зловмисники змогли закріпитись у системі. Вони діяли швидко з моменту початкового доступу до того моменту, коли їм вдалося зареєструвати власну віртуальну машину в VPN-мережі жертви.” – кажуть експерти.

Дослідники підозрюють зв’язок mx1r з Evil Corp через збіг ряду тактик зловмисників, у тому числі через організацію атаки kerberoasting на службу Active Directory та використання RDP для просування в мережі компанії.

При цьому, незважаючи на ці зв’язки, інфраструктура HiveStrike, що використовується для організації атаки, в цілому відповідає інфраструктурі одного з «партнерів» групи Conti, яка раніше поширювала шифрувальники Hive і Yanluowang. Ці хакери зрештою опублікували дані, вкрадені у Cisco, на своєму даркнеті.

Самі представники Cisco писали, що атака, швидше за все, здійснена зловмисником, який раніше був брокером первинного доступу і мав зв’язки зі злочинним угрупуванням UNC2447, групою Lapsus$ та операторами програми-вимагача Yanluowang.

Ці невідповідності, схоже, не турбують аналітиків eSentire:

Здається малоймовірним (але не неможливим), що Conti надає свою інфраструктуру Evil Corp. Більш правдоподібно те, що партнер Evil Corp/UNC2165 може працювати з однією з нових дочірніх компаній Conti. Також можливо, що початковий доступ до мережі компанії був наданий партнером Evil Corp, але в кінцевому підсумку був проданий операторам Hive і пов’язаним з ними особам.”

До Дня Незалежності ймовірне посилення атак російських хакерів: Українців Попередили

У зв’язку зі святом Дня Незалежності України, 24 серпня, російські хакери можуть посилити атаки проти українців. Про це повідомляє Державна служба спеціального зв’язку. Повідомлення з таким зверненням було опубліковане в телеграм каналі і мало наступний зміст:

Незалежність та свобода України не дають спокою російським загарбникам. Саме у значні державні дати зазвичай активізується ворог. Тому ми очікуємо посилення атак з боку окупантів напередодні та в день відзначення найважливішого для українців державного свята – Дня Незалежності. І не тільки на полі бою, а й у кіберпросторі.”

Фахівці припускають, що в підвищеній зоні небезпеки знаходяться держслужбовці, працівники критичної інфраструктури, військові, та всі ті, хто можуть бути точкою доступу до інформаційних систем України.

Крім того, у Держспецзв’язку надали певні рекомендації, щодо запобігання ймовірної загрози.

Зокрема, потрібно замінити слабкі паролі на більш надійні, до всіх важливих облікових записів. За можливістю скористатися двофакторною аутентифікацією. Встановити всі оновлення програм на ПК та смартфонах. Просканувати пристої за допомогою антивірусних програм. Необхідно видалити всі російські програми, піратські програми, та ті які були дано встановленні і не несуть ніякого сенсу. На всі файли та документи слід зробити резервні копії, щоб в разі необхідності їх можна було відновити.

У державній службі також наголошують не завантажувати файли з невідомих джерел, які несуть сумнівний характер. Користувачі повинні бути пильні з повідомленнями на email, тому що, хакери частіш за все атакують через спам (розсилання небезпечних файлів).

“Пам’ятайте, що посилання на фішингові сайти можуть бути “замасковані” під привітання зі святом. Не переходьте за посиланнями, отриманими від незнайомців та навіть від друзів”, – зазначили у Держспецзв’язку.

Зловмисники можуть маскуватись під представників держорганів, тому в такому випадку потрібно бути більш обачними з адресами відправника. Не потрібно відкривати сумнівних вкладень і переходити за підозрілими посиланнями.

В Україні за липень 2022 року вже зареєстровано 203 ворожі кібератаки, про це повідомляє Укрінформ. Всі ці атаки налаштовані проти органів державного управління.

Google пережив найбільшу кібератаку в історії

Цього року, Google зіштовхнувся з наймасштабнішою кібератакою за весь період свого існування, типу “відмова в обслуговуванні” (DDoS) за протоколом HTTPS.

Ця атака була проведена ще в червні, але прес-служба корпорації розповіла про все тільки зараз. Початок кібератаки припав на 1 червня о 09:45 по місцевому часу і припинена вона була близько о 10:54. Найбільш шокуючим явищем цієї атаки була кількість запитів за секунду, яка встановила 46 млн, хоча і починалося лише з 10 млн запитів. Хакери застосовували HTTPS-запити, які являються найдорожчими, так як для їх застосування потрібно більше ресурсів. І що найцікавіше, приходили вони з 5256 вихідних IP-адресів із 132 країн.

Це все одно, що отримувати всі щоденні запити у Вікіпедії (один із 10 найбільш доступних веб-сайтів у світі) всього за 10 секунд” — прокоментували співробітники Google Сатья Контуру і Еміль Кінер.

Але слід зауважити, що в 2020 році вже була проведена кібератака проти Google, яка вважалась самою масштабною кампанією і зачепила на той момент близько 32 млн користувачів. Атака проходила під виглядом шпигунських програм, які розповсюджувались безкоштовно під видом онлайн -перекладачів, конвертерів файлів та під розширенням безпеки. Ціль була в тому, щоб зібрати всю історію відвідувань сайтів користувачами та їхню приватну інформацію.

Шахраї використовували прості та дієві методи маскування. З їхньою мережею були пов’язані близько 15 тисяч доменних імен, які в свою чергу були зареєстровані у невеликого комапанії Ізраїля CommuniGal Communication Ltd.

Наразі Google обіцяє вдосконалити якість свого сервісу, аби не допустити подібного.

Українців попереджають про нову кібератаку з використанням шкідливої програми-викрадача

Нещодавно стало відомо про розповсюдження нового небезпечного файла, під назвою «Доповідь0507224.ppt». Про це докладає урядова команда реагування на комп’ютерні надзвичайні події України CERT-US, яка діє при Держспецзв’язку.

Даний файл містить в собі зображення-мініатюру, на якій згадується оперативне командування “Південь”. У Держспецзв’язку наголошують: “Відкриття цього файлу та активація макросу може призвести до запуску на комп’ютері шкідливої програми-стілера Agent Tesla, та до викрадення інформації.”

Це насправді так, тому що при відкритті цього небезпечного файла створюються файли “gksg023ig.lnk” та “sgegkseg23mjl.exe”, а також виконання LNK-файлу за допомогою rundll32.exe. Все це призведе до запуску згаданого EXE-файлу.

Виконуваний файл являється NET-програмою та обфускованою за допомогою ConfuserEx, який в свою чергу, здійснює пошук відповідного офсету, завантаження JPEG-файлу “thumb_d_F3D14F4982A256B5CDAE9BD579429AE7.jpg”, дешифрування та декомпресію даних, та запуск отриманої в результаті NET-програми MCMDiction.exe.

Після цих всіх перетворень (AES, Gzip, XOR, base64) із застосуванням стенографії , на комп’ютері буде активовано небезпечну программу-стілер Agent Tesla.

Дивлячись на імя на котент-приманку PPT-документу, фахівці припускають, що ця нова кібератака націлена зокрема на державні організації України.

Слід зазначити, що з початку повномасштабної війни російська федерація нанесла близко 796-ти кібератак проти України , але, як ми бачимо, це ще не кінець.