Держспецзв'язку попередила про нові кібератаки
На комп'ютерах користувачів встановлюється програма Remote Utilities, яка надає прихований віддалений доступ до пристрою третім особам.
Команда реагування на надзвичайні події України CERT-UA, яка функціонує у рамках Державної служби спеціального зв'язку та захисту інформації, попереджає про спроби кібератак на українські організації та установи з використанням легітимної програми Remote Utilities. Про це повідомляє Центр стратегічних комунікацій та інформаційної безпеки у суботу, 29 січня.
"Продовжуються масовані кібератаки, які були 13-14 січня", – йдеться у повідомленні центру у Telegram-каналі.
За його даними, починаючи з п'ятниці, відбувається розсилання із судовими запитами. Незважаючи на те, що розсилання ведеться з офіційних адрес судової влади, запити сфальсифіковані, а за посиланнями в листі завантажується шкідливе програмне забезпечення.
"Проблему посилює те, що розсилка відбувається зі справжніх поштових серверів судової влади. Таким чином, листи проходять спам-фільтри та викликають довіру. Можливо, скомпрометовані лише окремі адреси судів, хоча не варто відкидати, що може бути скомпрометований весь поштовий сервер", – зазначається у повідомленні.
У відомстві вважають, що оскільки в Україні законодавством посилено роль електронної пошти як офіційного засобу комунікації в судовому процесі, "подібний вектор атак розвиватиметься і надалі".
Також зазначено, що електронні поштові повідомлення містять посилання на захищені паролем RAR та/або ZIP архіви (наприклад, Судовий запит №997836477463567677822.rar_pass_123.zip), розміщені на публічних сервісах Google Drive та DropMeFiles.
Якщо одержувач повідомлення завантажить та розпакує такий архів, на його комп'ютері буде встановлена програма Remote Utilities. Вона, у свою чергу, надасть прихований віддалений доступ до пристрою третім особам. При цьому здатність програми оновлювати активність після перезавантаження комп'ютера забезпечується шляхом створення служби RManService.
"Подібні кібератаки є систематичною активністю, яка здійснюється щодо державних органів України (але не тільки) і відстежується CERT-UA за ідентифікатором UAC-0096", – зауважили у службі.
Для видалення шкідливої програми в Держспецзв'язку рекомендують зупинити сервіс RManService, видалити каталог %PROGRAMFILES(X86)%\Remote Utilities – Host\, видалити ключ реєстру HKLM\SOFTWARE\Usoris.
Нагадаємо, в ніч на 14 січня на Україну було здійснено кібератаку, внаслідок якої з ладу вийшли близько 70 урядових та регіональних сайтів. Фахівці спочатку припустили, що це справа кіберзлочинців із РФ. Мета хакерів – дестабілізувати внутрішню ситуацію в країні, посіяти хаос та зневіру у суспільстві. Проте пізніше заступник секретаря РНБО Сергій Демедюк заявив, що за кібератакою може стояти хакерське угруповання UNC1151, пов'язане з білоруським розвідуванням.