Gamaredon-2021

11 марта 2021, 09:34
Владелец страницы
Эксперт по компьютерной безопасности
0
649
Gamaredon-2021

В журнале Корреспондент - о свеженькой кибератаке на отечественные госструктуры


В течение недели группа быстрого реагирования (CERT-UA) и координационный центр СНБО рассказали о нескольких компьютерных атаках на пользователей в государственном секторе. Сначала под DDoS-атакой лег сайт Службы безопасности Украины — его завалили «мусорными» запросами и он перестал отвечать, что может быть связано с недавними арестами хакеров или уголовным делом против Анатолия Шария.

При этом сайты, размещенные на той же площадке (например, официальный сайт президента), продолжали работать.

Следующая неприятность случилась с пользователями системы электронного документооборота Аскод (ею пользуются госструктуры). Они столкнулись с фишинговой кампанией группы Gamaredon, связанной со спецслужбами РФ. Операция должна была называться Армагеддон, но хакеры не справились со сложным иностранным словом, над чем и посмеялись разработчики антивирусов. Также ее называют Primitive Bear. Взломщики подделывают поле, в котором указан отправитель письма, или рассылают письма с зараженными документами с уже взломанных почтовых ящиков.

Для удобства пользователей Аскод может сконвертировать документ в формат, с которым получателю удобнее работать, но делает это как раз таким способом, которым пользоваться нельзя, — автоматически открывает документ в Microsoft Word.

Проблема в данном случае была в том, что, помимо текста и картинок, документы Word могут содержать небольшие программки (макросы), чем и воспользовались российские хакеры. Уязвимость, на которую они рассчитывают, известна с 2017 года, и даже странно, как у систем, которые четыре года не обновлялись, может быть сертификат Комплексной системы защиты информации («…это, скажем, Оскар в направлении кибербезопасности в нашей стране», — как говорят в Министерстве цифровой трансформации).

Несмотря на то что российские хакеры не могут похвастаться новизной и сложностью своих инструментов (не зря их называют примитивными), они действуют уже около восьми лет, настойчиво и нагло. Хотя жертве взлома отнюдь не легче от того, что грабитель нашел ключ от двери под ковриком, вместо того чтобы подбирать отмычки.

Защититься от подобных атак сравнительно несложно. Специалисты по безопасности десятилетиями повторяют одни и те же советы: не открывайте письма, которых вы не ждете.

Если почему-то возникают сомнения в том, что письмо отправлено именно тем отправителем, который указан в поле От кого, переспросите, действительно ли он отправлял письмо? Не открывайте исполняемые файлы. Если по какой-то причине вам нужно их открыть, файл можно проверить на антивирусном сервисе VirusTotal, а документ открыть в Google Docs. И конечно, нужно вовремя устанавливать обновления операционной системы и антивируса.

Если бизнес уже приспособился к нехитрым правилам компьютерной гигиены, то госслужащие по-прежнему полагаются на нежелание хакеров связываться с госухой. Однако война продолжается уже семь лет, и цель российских взломщиков не деньги, а диверсии (как это уже случалось с несколькими облэнерго) и шпионаж. Страх перед полицией их не остановит — они за пределами Украины.

Много лет назад, когда в армии США начали внедрять системы автоматического обнаружения компьютерных атак, один из генералов сказал: «С тех пор, как мы включили эту штуку, нас атакуют непрерывно!» Точно так же и у нас большая часть подобных атак проходила незамеченной.

Безудержная цифровизация всего и вся, на чем настаивает Министерство цифровой трансформации и вице-премьер Михаил Федоров (прославившийся фразой о том, что «роль кибербезопасности несколько преувеличена»), создает новые риски. Конечно же, обмениваться электронными документами гораздо удобнее, чем ходить на почту облизывать марки, но в условиях войны стоит уделить кибербезопасности больше внимания, чем добиваться личного комфорта путем ее игнорирования.

Без сомнения, радует тот факт, что CERT, СНБО и другие службы после долгого молчания начали рассказывать о происходящих атаках. Но это самый первый шаг, и теперь нужно обучить многочисленных чиновников, как защищать данные, которые мы им доверили.

Начать можно с простого. Если вдруг пришло письмо якобы от ДССЗЗІ с вложением Електронний запит.EXE, подумайте дважды, прежде чем на него нажимать (загружать).
Рубрика "Блоги читателей" является площадкой свободной журналистики и не модерируется редакцией. Пользователи самостоятельно загружают свои материалы на сайт. Редакция не разделяет позицию блогеров и не отвечает за достоверность изложенных ими фактов.
РАЗДЕЛ: События в Украине
ТЕГИ: Украина,СБУ,СНБО,государство,хакерская атака
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.