Розділи
Матеріали

Хакери атакують державні органи України: Сert-UA розповіла про загрозу

Фото: cloudav.ru

Зловмисники відправляють держслужбовцям файли з інформацією про зарплати, в яких закодовано шкідливі програми GraphSteel та GrimPlant.

Урядова команда з реагування на комп'ютерні загрози (CERT-UA) зафіксувала атаку хакерів на державні органи України. Експерти розповіли подробиці на офіційному сайті.

Вони виявили, що зловмисники розповсюджували серед співробітників електронні листи, під назвою "Заборгованість із зарплати". До нього прикріплений документ-таблиця формату "xls" з такою ж назвою, що містить статистичні дані та макрокоманду (макрос) — програмний алгоритм дій, записаний користувачем, а також додаток як дані, зашифровані за допомогою hex — шістнадцяткового коду байта.

Після активації макрос декодує дані та створює на комп'ютері жертви виконавчий EXE-файл під назвою EXE-файл "Base-Update.exe" і відразу ж його запускає — це програма, написана мовою програмування GoLang. Вона завантажує та запускає ще один завантажувач, який зі свого боку активує шкідливі програми GraphSteel та GrimPlant. Хакерську атаку пов'язують із групою UAC-0056.

Як пояснила CERT-UA, GraphSteel є шкідливою програмою, написаною мовою GoLang, яка визначає базову інформацію про комп'ютер (hostname, username, IP-адресу). Вона передає хакерам дані для автентифікації в системі, також може виконувати деякі команди й вивантажувати файли.

GrimPlant також розроблена на GoLang для збору інформації про комп'ютер та виконання команд, отриманих із сервера управління. Як протокол використовують gRPC (Protocol Buffers+HTTP/2+SSL). Адреса сервера управління передають як аргумент у командному рядку.

У своєму Телеграм-каналі Державна служба спеціального зв'язку та захисту інформації закликала одержувачів таких листів не відкривати їх, а зв'язуватися із CERT-UA електронною поштою.

Раніше фахівці з CERT-UA розповіли, як захистити гаджети від злому російськими військовими. В умовах війни кожен користувач перебуває під загрозою, тому повинен поводитися дуже обережно та використовувати всі доступні заходи безпеки.

Писали також, що російські хакери 60 разів атакували критичну інфраструктуру України з 15 до 22 березня. Вони використовували шкідливе ПЗ чотирьох типів, але так і не досягли успіху.