Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Sandworm готував атаку на 20 об’єктів критичної інфраструктури України

Кіра Іванова
Кіра Іванова Редакторка новин The Page/SPEKA
21 квітня 2024 5 хвилин читання

CERT-UA, команда реагування на комп’ютерні надзвичайні події України при Держспецзв’язку, виявила плани угрупування UAC-0133 (Sandworm) атакувати інформаційні системи близько 20 підприємств галузей енергетики, водо- та теплопостачання у десяти регіонах України.

Про це повідомили в CERT-UASandworm є одним із найбільш активних угруповань, пов’язаних із головним управлінням генштабу росії, раніше відомим як гру.

Як CERT-UA виявив атаку Sandworm

Державні кіберзахисники виявили відомий з 2022 бекдор QUEUESEED (KNUCKLETOUCH, ICYWELL, WRONGSENS, KAPEKA), а також нові шкідливі програми LOADGRIP та BIASBOAT (Linux-варіант QUEUESEED). Вони були інфільтровані в автоматизовані керуючі системи під Linux. Більше того, файл BIASBOAT зловмисники зашифрували під конкретний сервер, для чого використали заздалегідь отримане значення «machine-id».

Як підтвердили в CERT-UA, скомпроментованими виявились щонайменше три «ланцюги постачання”. Несанкціонований доступ зловмисники, вважають кіберзахисники, могли отримати:

  • через встановлення ПЗ, з програмними закладками та вразливостями;
  • через штатну технічну можливість співробітників постачальника отримувати доступ до систем організацій для супроводження та технічної підтримки.

Потрапивши до комп ‘ютерних систем, пов’язані із росією хакери готували розвиток кібератаки на всі корпоративні мережі підприємств. CERT-UA виявив там заздалегідь створений PHP-вебшелл WEEVELY, PHP-тунель REGEORG.NEO або PIVOTNACCI.

З 7 по 15 березня фахівці CERT-UA проінформували всі вражені підприємства та вжили заходів з протидії кіберзагрозам у системах. Вони вилучили та проаналізовали шкідливе ПЗ, створили хронологію подій інциденту, допомогли переналаштувати сервери та мережеве обладнання та встановили технологію захисту. На деяких підприємствах LOADGRIP/BIASBOAT було створено у 2023 році.

В компаніях, де системи працюють на Windows, зловмисники використали ПЗ QUEUESEED та GOSSIPFLOW, за допомогою якого ще з 2022 року угрупування UAC-0133 могло атакувати об'єкти водопостачання, зокрема, з використанням SDELETE. 

З високим рівнем впевненості UAC-0133 є субкластером UAC-0002 (Sandworm/APT-44), стверджують в CERT-UA.

Чому нова операція CERT-UA важлива

  • Ця атака є свідченням того, що росія, зокрема, угрупування Sandworm, продовжує використовувати кібератаки проти України
  • CERT-UA припускає, що проникнення в системи об'єктів тепло-, водо- та енергопостачання здійснили, щоб підсилити ефект від ракетних ударів по інфраструктурним об'єктам України навесні 2024 року.
  • Підприємства критичної інфраструктури мають захистити свої системи. Важливо, щоб усі українці знали про цю загрозу та вживали заходів для захисту себе та своїх даних.

Що варто робити для кіберзахисту систем компанії

  • Сегментувати мережі та обмежити доступ до елементів комп’ютерних систем за принципом мінімальної необхідності та “нульової” довіри.Використовувати багатофакторну аутентифікацію;
  • Навчати персонал основ кібербезпеки.

У разі виявлення підозрілої активності треба звертатися до CERT-UA: cert@cert.gov.ua або тел.: +38 (044) 281-88-25.

Що відомо про нове шкідливе ПЗ під Linux

Наводимо довідки від CERT-UA.

QUEUESEED — шкідлива програма, розроблена з використанням мови програмування C++. Отримує базову інформацію про ЕОМ (ОС, мова, ім'я користувача), виконує отримані з серверу управління команди та надсилає результат. Функції: читання/запис файлів, виконання команд (як окремий процес, або через %COMSPEC% /c), оновлення конфігурації, самовидалення. Для взаємодії з сервером управління використовується HTTPS. Дані передаються в JSON-форматі та шифруються за допомогою RSA+AES. Конфігураційний файл бекдору, який, зокрема, містить URL-адресу серверу управління, шифрується за допомогою AES (ключ статично задано в програмі). Імплементовано чергу неопрацьованих вхідних команд/результатів — зберігається в реєстрі Windows в AES-шифрованому вигляді (як ключ використовується значення %MACHINEGUID%). Персистентність бекдору забезпечується дропером, який створює відповідне заплановане завдання або запис в гілці «Run» реєстру Windows.

BIASBOAT — шкідлива програма (ELF), розроблена з використанням мови програмування C, є Linux-варіантом QUEUESEED. Запуск на ЕОМ здійснюється за допомогою інжектору LOADGRIP.

LOADGRIP - шкідлива програма (ELF), розроблена з використанням мови програмування C. Основний функціонал — запуск пейлоаду шляхом інжектування з використанням API ptrace. Пейлоад, зазвичай, представлено в шифрованому вигляді (AES128-CBC), а ключ для його розшифрування формується на основні статично зазначеної в коді константи та значення «machine-id» ЕОМ.

GOSSIPFLOW - шкідлива програма, розроблена з використанням мови програмування Go. Забезпечує побудову тунелю (використовує бібліотеку-мультиплексор Yamux) та виконує функціонал SOCKS5 проксі.

0
Прокоментувати
Інші матеріали

Українські організації піддаються цілеспрямованим кібератакам

Владислав Паливода 24 травня 2024 19:26

Кіберзлочинці націлилися на українських бухгалтерів

Владислав Паливода 22 травня 2024 07:00

Хакери кремля атакували водопостачання у США

Олеся Дерзська 9 травня 2024 19:40

Кібернапад на українські медіа: росіяни транслювали парад у москві по StarLight Media та «Інтеру»

Вікторія Рудзінська 9 травня 2024 12:38

Топ 5 хакерських угруповань рф і білорусі у 2023 році

Олеся Дерзська 3 травня 2024 16:43