РНБОУ Рада національної безпеки і оборони України

НКЦК при РНБО України попереджає про кібератаку на систему документообігу державних органів

Національний координаційний центр кібербезпеки при Раді національної безпеки і оборони України зафіксував спроби поширення шкідливих документів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ).

Метою атаки було масове зараження інформаційних ресурсів державних органів, оскільки саме з використанням цієї системи здійснюється документообіг у більшості органів державної влади.

Шкідливі документи містили макрос, який під час відкриття файлів приховано завантажував програму для віддаленого управління комп’ютером. Способи та засоби реалізації цієї кібератаки дозволяють пов’язати її з одним із хакерських шпигунських угруповань з Російської Федерації.

За сценарієм атака належить до так званих supply chain attack. Це атака на ланцюжок поставок, під час якої атакуючі намагаються отримати доступ до цільової організації не напряму, а через вразливості в інструментах і сервісах, які вона використовує.

Найвідомішими та наймасштабнішими атаками такого типу стали NotPetya, спрямована на пошкодження української інфраструктури у 2017 році, та Solorigate – кібершпигунська операція Російської Федерації 2020-2021 року, яку нині розслідують у США. У цих випадках шкідливий програмний код поширювався через поширене програмне забезпечення (МЕДОК в Україні та продукти Solarwinds в США), яке було скомпрометовано атакуючими.

 

Основні індикатори атаки

Домени

                   enterox.ru

ІР адреси

                   109.68.212.97

Посилання (URL)

                   http://109.68.212.97/infant.php

 

НКЦК наголошує на необхідності:

- регулярно встановлювати оновлення безпеки для операційної системи та програм на робочих місцях, підключених до системи СЕВ ОВВ;

-  застосувати жорсткі політики цілісності коду, які дозволяють працювати лише авторизованим програмам;

- використовувати антивірусне програмне забезпечення або інші рішення для захисту робочих місць та здійснювати моніторинг подій безпеки у них;

- замінити паролі доступу до системи електронного документообігу на більш стійкі;

- здійснювати моніторинг спроб підбору паролів до онлайн(веб)-систем електронного документообігу;

- відключити виконання макросів у документах Microsoft Office на робочих місцях, підключених до системи СЕВ ОВВ.

У разі виявлення індикаторів атаки просимо одразу повідомляти Національний координаційний центр кібербезпеки (report@ncscc.gov.ua).