Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Sandworm готував атаку на 20 об’єктів критичної інфраструктури України

Кіра Іванова
Кіра Іванова Керівниця новинної редакції The Page/SPEKA
21 квітня 2024 5 хвилин читання

CERT-UA, команда реагування на комп’ютерні надзвичайні події України при Держспецзв’язку, виявила плани угрупування UAC-0133 (Sandworm) атакувати інформаційні системи близько 20 підприємств галузей енергетики, водо- та теплопостачання у десяти регіонах України.

Про це повідомили в CERT-UASandworm є одним із найбільш активних угруповань, пов’язаних із головним управлінням генштабу росії, раніше відомим як гру.

Як CERT-UA виявив атаку Sandworm

Державні кіберзахисники виявили відомий з 2022 бекдор QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), а також нові шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED). Вони були інфільтровані в автоматизовані керуючі системи під Linux. Більше того, файл BIASBOAT зловмисники зашифрували під конкретний сервер, для чого використали заздалегідь отримане значення «machine-id».

Як підтвердили в CERT-UA, скомпроментованими виявились щонайменше три «ланцюги постачання”. Несанкціонований доступ зловмисники, вважають кіберзахисники, могли отримати:

  • через встановлення ПЗ, з програмними закладками та вразливостями;
  • через штатну технічну можливість співробітників постачальника отримувати доступ до систем організацій для супроводження та технічної підтримки.

Потрапивши до комп ‘ютерних систем, пов’язані із росією хакери готували розвиток кібератаки на всі корпоративні мережі підприємств. CERT-UA виявив там заздалегідь створений PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.

Підписуйтеся на наші соцмережі

З 7 по 15 березня фахівці CERT-UA проінформували всі вражені підприємства та вжили заходів з протидії кіберзагрозам у системах. Вони вилучили та проаналізовали шкідливе ПЗ, створили хронологію подій інциденту, допомогли переналаштувати сервери та мережеве обладнання та встановили технологію захисту. На деяких підприємствах LOADGRIP/BIASBOAT було створено у 2023 році.

В компаніях, де системи працюють на Windows, зловмисники використали ПЗ QUEUESEED та GOSSIPFLOW, за допомогою якого ще з 2022 року угрупування UAC-0133 могло атакувати об'єкти водопостачання, зокрема, з використанням SDELETE. 

З високим рівнем впевненості UAC-0133 є субкластером UAC-0002 (Sandworm/APT-44), стверджують в CERT-UA.

Чому нова операція CERT-UA важлива

  • Ця атака є свідченням того, що росія, зокрема, угрупування Sandworm, продовжує використовувати кібератаки проти України
  • CERT-UA припускає, що проникнення в системи об'єктів тепло-, водо- та енергопостачання здійснили, щоб підсилити ефект від ракетних ударів по інфраструктурним об'єктам України навесні 2024 року.
  • Підприємства критичної інфраструктури мають захистити свої системи. Важливо, щоб усі українці знали про цю загрозу та вживали заходів для захисту себе та своїх даних.

Що варто робити для кіберзахисту систем компанії

  • Сегментувати мережі та обмежити доступ до елементів комп’ютерних систем за принципом мінімальної необхідності та “нульової” довіри.Використовувати багатофакторну аутентифікацію;
  • Навчати персонал основ кібербезпеки.

У разі виявлення підозрілої активності треба звертатися до CERT-UA: cert@cert.gov.ua або тел.: +38 (044) 281-88-25.

Що відомо про нове шкідливе ПЗ під Linux

Наводимо довідки від CERT-UA.

QUEUESEED — шкідлива програма, розроблена з використанням мови програмування C++. Отримує базову інформацію про ЕОМ (ОС, мова, ім'я користувача), виконує отримані з серверу управління команди та надсилає результат. Функції: читання/запис файлів, виконання команд (як окремий процес, або через %COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління використовується HTTPS. Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES. Конфігураційний файл бекдору, який, зокрема, містить URL-адресу серверу управління, шифрується за допомогою AES (ключ статично задано в програмі). Імплементовано чергу неопрацьованих вхідних команд/результатів — зберігається в реєстрі Windows в AES-шифрованому вигляді (як ключ використовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який створює відповідне заплановане завдання або запис в гілці «Run» реєстру Windows.

BIASBOAT — шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.

LOADGRIP - шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний функціонал — запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад, зазвичай, представлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на основні статично зазначеної в коді константи та значення «machine-id» ЕОМ.

GOSSIPFLOW - шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує побудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.

Підписуйтеся на наші соцмережі

50 UAH 150 UAH 500 UAH 1000 UAH 3000 UAH 5000 UAH
0
Прокоментувати
Інші матеріали

CERT-UA попереджає про кібератаки з використанням AnyDesk

Кіра Іванова 20 січня 2025 15:56

Мін’юст відновив роботу всіх реєстрів, «Дія» — на черзі

Кіра Іванова 20 січня 2025 13:37

Valve офіційно дозволить встановлювати SteamOS на інші пристрої з квітня цього року

Неля Збишко 8 січня 2025 14:50

5 фактів про Linux, які не відповідають реальності

Неля Збишко 1 січня 2025 12:00

CERT-UA виявила нові атаки угруповання UAC-0099 на державні установи

Павло Бартос 16 грудня 2024 17:09