Gamaredon-2021

При этом сайты, размещенные на той же площадке (например, официальный сайт президента), продолжали работать.

Следующая неприятность случилась с пользователями системы электронного документооборота Аскод (ею пользуются госструктуры). Они столкнулись с фишинговой кампанией группы Gamaredon, связанной со спецслужбами РФ. Операция должна была называться Армагеддон, но хакеры не справились со сложным иностранным словом, над чем и посмеялись разработчики антивирусов. Также ее называют Primitive Bear. Взломщики подделывают поле, в котором указан отправитель письма, или рассылают письма с зараженными документами с уже взломанных почтовых ящиков.

Для удобства пользователей Аскод может сконвертировать документ в формат, с которым получателю удобнее работать, но делает это как раз таким способом, которым пользоваться нельзя, — автоматически открывает документ в Microsoft Word.

Проблема в данном случае была в том, что, помимо текста и картинок, документы Word могут содержать небольшие программки (макросы), чем и воспользовались российские хакеры. Уязвимость, на которую они рассчитывают, известна с 2017 года, и даже странно, как у систем, которые четыре года не обновлялись, может быть сертификат Комплексной системы защиты информации («…это, скажем, Оскар в направлении кибербезопасности в нашей стране», — как говорят в Министерстве цифровой трансформации).

Несмотря на то что российские хакеры не могут похвастаться новизной и сложностью своих инструментов (не зря их называют примитивными), они действуют уже около восьми лет, настойчиво и нагло. Хотя жертве взлома отнюдь не легче от того, что грабитель нашел ключ от двери под ковриком, вместо того чтобы подбирать отмычки.

Защититься от подобных атак сравнительно несложно. Специалисты по безопасности десятилетиями повторяют одни и те же советы: не открывайте письма, которых вы не ждете.

Если почему-то возникают сомнения в том, что письмо отправлено именно тем отправителем, который указан в поле От кого, переспросите, действительно ли он отправлял письмо? Не открывайте исполняемые файлы. Если по какой-то причине вам нужно их открыть, файл можно проверить на антивирусном сервисе VirusTotal, а документ открыть в Google Docs. И конечно, нужно вовремя устанавливать обновления операционной системы и антивируса.

Если бизнес уже приспособился к нехитрым правилам компьютерной гигиены, то госслужащие по-прежнему полагаются на нежелание хакеров связываться с госухой. Однако война продолжается уже семь лет, и цель российских взломщиков не деньги, а диверсии (как это уже случалось с несколькими облэнерго) и шпионаж. Страх перед полицией их не остановит — они за пределами Украины.

Много лет назад, когда в армии США начали внедрять системы автоматического обнаружения компьютерных атак, один из генералов сказал: «С тех пор, как мы включили эту штуку, нас атакуют непрерывно!» Точно так же и у нас большая часть подобных атак проходила незамеченной.

Безудержная цифровизация всего и вся, на чем настаивает Министерство цифровой трансформации и вице-премьер Михаил Федоров (прославившийся фразой о том, что «роль кибербезопасности несколько преувеличена»), создает новые риски. Конечно же, обмениваться электронными документами гораздо удобнее, чем ходить на почту облизывать марки, но в условиях войны стоит уделить кибербезопасности больше внимания, чем добиваться личного комфорта путем ее игнорирования.

Без сомнения, радует тот факт, что CERT, СНБО и другие службы после долгого молчания начали рассказывать о происходящих атаках. Но это самый первый шаг, и теперь нужно обучить многочисленных чиновников, как защищать данные, которые мы им доверили.

Начать можно с простого. Если вдруг пришло письмо якобы от ДССЗЗІ с вложением Електронний запит.EXE, подумайте дважды, прежде чем на него нажимать (загружать).