На систему документообігу державних органів здійснено кібератаку

На систему документообігу державних органів здійснено кібератаку

На систему документообігу державних органів здійснено кібератаку

Національний координаційний центр кібербезпеки при Раді національної безпеки і оборони України зафіксував спроби поширення шкідливих документів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ).

Метою атаки було масове зараження інформаційних ресурсів державних органів, оскільки саме з використанням цієї системи здійснюється документообіг у більшості органів державної влади.

>

Шкідливі документи містили макрос, який під час відкриття файлів приховано завантажував програму для віддаленого управління комп’ютером. Способи та засоби реалізації цієї кібератаки дозволяють пов’язати її з одним із хакерських шпигунських угруповань з Російської Федерації.

За сценарієм атака належить до так званих supply chain attack. Це атака на ланцюжок поставок, під час якої атакуючі намагаються отримати доступ до цільової організації не напряму, а через вразливості в інструментах і сервісах, які вона використовує.

Найвідомішими та наймасштабнішими атаками такого типу стали NotPetya, спрямована на пошкодження української інфраструктури у 2017 році, та Solorigate – кібершпигунська операція Російської Федерації 2020-2021 року, яку нині розслідують у США. У цих випадках шкідливий програмний код поширювався через поширене програмне забезпечення (МЕДОК в Україні та продукти Solarwinds в США), яке було скомпрометовано атакуючими.

Основні індикатори атаки

Домени    enterox.ru

ІР адреси     109.68.212.97

Посилання (URL)     http://109.68.212.97/infant.php


НКЦК наголошує на необхідності:

- регулярно встановлювати оновлення безпеки для операційної системи та програм на робочих місцях, підключених до системи СЕВ ОВВ;
-  застосувати жорсткі політики цілісності коду, які дозволяють працювати лише авторизованим програмам;
- використовувати антивірусне програмне забезпечення або інші рішення для захисту робочих місць та здійснювати моніторинг подій безпеки у них;
- замінити паролі доступу до системи електронного документообігу на більш стійкі;
- здійснювати моніторинг спроб підбору паролів до онлайн(веб)-систем електронного документообігу;
- відключити виконання макросів у документах Microsoft Office на робочих місцях, підключених до системи СЕВ ОВВ.

У разі виявлення індикаторів атаки просимо одразу повідомляти Національний координаційний центр кібербезпеки (report@ncscc.gov.ua).

Останні новини