Ukraina twierdzi, że Rosja zhakowała jej portal z dokumentami i umieściła szkodliwe pliki


Ukraina oskarżyła rosyjski rząd o włamanie się do jednego z rządowych portali internetowych i umieszczenie złośliwych dokumentów, które zainstalowałyby złośliwe oprogramowanie na komputerach użytkowników końcowych.
„Celem ataku było masowe skażenie zasobów informacyjnych władz publicznych, ponieważ system ten jest używany do obiegu dokumentów w większości władz publicznych” – poinformowali przedstawiciele ukraińskiego Narodowego Centrum Koordynacyjnego ds. Cyberbezpieczeństwa w środowym oświadczeniu. „Szkodliwe dokumenty zawierały makro, które potajemnie pobierało program do zdalnego sterowania komputerem podczas otwierania plików”.
W środowym oświadczeniu stwierdzono, że metody użyte w ataku połączyły hakerów z Federacją Rosyjską. Ukraina nie powiedziała, czy atakowi udało się zainfekować komputery władz. Wiele dowodów łączyło rosyjski rząd z kilkoma bardzo agresywnymi atakami na Ukrainę w przeszłości. Hacki obejmują:
- Włamanie komputerowe pod koniec 2015 r. Do regionalnych władz energetycznych na Ukrainie spowodowało awarię zasilania, w wyniku której setki tysięcy domów pozostało bez prądu w środku zimy.
- Niemal dokładnie rok później, po drugim ataku na podstację elektryczną pod Kijowem, mieszkańcy znów zostali pozbawieni prądu.
- Złośliwa aktualizacja szeroko stosowanego oprogramowania podatkowego na Ukrainie, która rozprowadzała wśród użytkowników szkodliwe oprogramowanie służące do czyszczenia dysku. Tak zwany robak NotPetya wyłączył komputery na całym świecie i doprowadził do najdroższego na świecie włamania.
W innym miejscu rosyjska agencja wywiadowcza SVR została również oskarżona o dokonanie niedawno odkrytego włamania wymierzonego w co najmniej dziewięć agencji amerykańskich i 100 firm w ataku łańcucha dostaw na klientów oprogramowania do zarządzania siecią SolarWinds.
W środowym oświadczeniu nie wskazano, która z kilku znanych rosyjskich grup hakerskich została oskarżona o włamanie.
Ataki makr, takie jak ten wspomniany w oświadczeniu, zazwyczaj polegają na nakłonieniu użytkowników pakietu Microsoft Office do włączenia makr, często pod pozorem, że makro jest wymagane do prawidłowego wyświetlania dokumentu. Następnie makra pobierają złośliwe oprogramowanie z serwera kontrolowanego przez atakującego i instalują je.
W oświadczeniu nie podano szczegółów, w jaki sposób i kiedy doszło do włamania do ukraińskiego systemu elektronicznej interakcji organów wykonawczych – portalu, który rozprowadza dokumenty wśród władz publicznych – ani jak długo trwało włamanie.
Wskaźniki, że ktoś został naruszony, obejmują:
Domena: enterox.ru
Adresy IP: 109.68.212.97
Link (adres URL): http://109.68.212.97/infant.php
Środowe oświadczenie pojawiło się dwa dni po tym, jak ukraińskie Narodowe Centrum Koordynacyjne ds. Cyberbezpieczeństwa poinformowało o „masowych atakach DDoS na ukraiński segment Internetu, głównie na stronach internetowych sektora bezpieczeństwa i obrony”. Analiza wykazała, że ataki wykorzystywały nowy mechanizm, którego wcześniej nie widziano. Ataki DDoS niszczą wybrane serwery, bombardując je większą ilością danych, niż są w stanie przetworzyć.