Хакеры атакуют государственные органы Украины: Сert-UA рассказала об угрозе

Хакер
Фото: cloudav.ru

Злоумышленники отправляют госслужащим файлы с информацией о зарплатах, в которых закодированы вредоносные программы GraphSteel и GrimPlant.

Правительственная команда по реагированию на компьютерные угрозы (СERT-UA) зафиксировала хакерскую атаку на государственные органы Украины. Эксперты рассказали подробности на официальном сайте.

Они обнаружили, что злоумышленники распространяли среди сотрудников электронные письма, озаглавленные "Задолженность по зарплате". К нему прикреплен документ-таблица формата "xls" с таким же названием, который содержит статистические данные и макрокоманду (макрос) — программный алгоритм действий, записанный пользователем, а также приложение в виде данных, зашифрованные с помощью hex — шестнадцатеричного кода байта.

После активации макрос декодирует данные и создает на компьютере жертвы исполнительный EXE-файл под названием EXE-файл "Base-Update.exe" и сразу же его запускает — это программа, написанная на языке программирования GoLang. Она загружает и запускает еще один загрузчик, который, в свою очередь, активирует вредоносные программы GraphSteel и GrimPlant. Хакерскую атаку связывают с группой UAC-0056.

Как объяснила СERT-UA, GraphSteel является вредоносной программой, написанной на языке GoLang, которая определяет базовую информацию о компьютере (hostname, username, IP-адрес). Она передает хакерам данные для аутентификации в системе, а также может выполнять некоторые команды и выгружать файлы.

GrimPlant также разработана на GoLang для сбора информации о компьютере и выполнения команд, полученных с сервера управления. В качестве протокола используется gRPC (Protocol Buffers+HTTP/2+SSL). Адрес сервера управления передается в качестве аргумента в командной строке.

В своем Телеграм-канале Государственная служба специальной связи и защиты информации призвала получателей таких писем не открывать их, а связываться с СERT-UA по электронной почты.

Ранее специалисты из CERT-UA рассказали, как защитить гаджеты от взлома российскими военными. В условиях войны каждый пользователь находится под угрозой, поэтому должен вести себя очень осторожно и использовать все доступные меры безопасности.

Писали также, что российские хакеры 60 раз атаковали критическую инфраструктуру Украины с 15 по 22 марта. Они использовали вредоносное ПО четырех типов, но так и не добились успеха.