Ukraina twierdzi, że Rosja zhakowała jej portal z dokumentami i umieściła szkodliwe pliki

Ukraina oskarżyła rosyjski rząd o włamanie się do jednego z rządowych portali internetowych i umieszczenie złośliwych dokumentów, które zainstalowałyby złośliwe oprogramowanie na komputerach użytkowników końcowych.

„Celem ataku było masowe skażenie zasobów informacyjnych władz publicznych, ponieważ system ten jest używany do obiegu dokumentów w większości władz publicznych” – poinformowali przedstawiciele ukraińskiego Narodowego Centrum Koordynacyjnego ds. Cyberbezpieczeństwa w środowym oświadczeniu. „Szkodliwe dokumenty zawierały makro, które potajemnie pobierało program do zdalnego sterowania komputerem podczas otwierania plików”.

W środowym oświadczeniu stwierdzono, że metody użyte w ataku połączyły hakerów z Federacją Rosyjską. Ukraina nie powiedziała, czy atakowi udało się zainfekować komputery władz. Wiele dowodów łączyło rosyjski rząd z kilkoma bardzo agresywnymi atakami na Ukrainę w przeszłości. Hacki obejmują:

• Włamanie komputerowe pod koniec 2015 r. Do regionalnych władz energetycznych na Ukrainie spowodowało awarię zasilania, w wyniku której setki tysięcy domów pozostało bez prądu w środku zimy.
• Niemal dokładnie rok później, po drugim ataku na podstację elektryczną pod Kijowem, mieszkańcy znów zostali pozbawieni prądu.
• Złośliwa aktualizacja szeroko stosowanego oprogramowania podatkowego na Ukrainie, która rozprowadzała wśród użytkowników szkodliwe oprogramowanie służące do czyszczenia dysku. Tak zwany robak NotPetya wyłączył komputery na całym świecie i doprowadził do najdroższego na świecie włamania.

W innym miejscu rosyjska agencja wywiadowcza SVR została również oskarżona o dokonanie niedawno odkrytego włamania wymierzonego w co najmniej dziewięć agencji amerykańskich i 100 firm w ataku łańcucha dostaw na klientów oprogramowania do zarządzania siecią SolarWinds.

W środowym oświadczeniu nie wskazano, która z kilku znanych rosyjskich grup hakerskich została oskarżona o włamanie.

Ataki makr, takie jak ten wspomniany w oświadczeniu, zazwyczaj polegają na nakłonieniu użytkowników pakietu Microsoft Office do włączenia makr, często pod pozorem, że makro jest wymagane do prawidłowego wyświetlania dokumentu. Następnie makra pobierają złośliwe oprogramowanie z serwera kontrolowanego przez atakującego i instalują je.

W oświadczeniu nie podano szczegółów, w jaki sposób i kiedy doszło do włamania do ukraińskiego systemu elektronicznej interakcji organów wykonawczych – portalu, który rozprowadza dokumenty wśród władz publicznych – ani jak długo trwało włamanie.

Wskaźniki, że ktoś został naruszony, obejmują:

Domena: enterox.ru

Adresy IP: 109.68.212.97

Link (adres URL): http://109.68.212.97/infant.php

Środowe oświadczenie pojawiło się dwa dni po tym, jak ukraińskie Narodowe Centrum Koordynacyjne ds. Cyberbezpieczeństwa poinformowało o „masowych atakach DDoS na ukraiński segment Internetu, głównie na stronach internetowych sektora bezpieczeństwa i obrony”. Analiza wykazała, że ​​ataki wykorzystywały nowy mechanizm, którego wcześniej nie widziano. Ataki DDoS niszczą wybrane serwery, bombardując je większą ilością danych, niż są w stanie przetworzyć.