`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Зловмисники використали легітимний WinRAR для атаки на держсектор України

3 мая 2023 г., 10:35
0 
 

«Урядова команда реагування на комп'ютерні надзвичайні події України» CERT-UA дослідила кібератаку на інформаційно-комунікаційну систему (ІКС) однієї з державних організацій. З'ясувалося, що працездатність серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних було порушено в результаті деструктивного впливу, шкідницького програмного забезпечення.

Зокрема, для виведення з ладу комп’ютерів під управлінням операційної системи Windows, зловмисники застосували RoarBat – BAT-скрипт, що здійснює рекурсивний пошук файлів (на дисках та у конкретних каталогах) за визначеним переліком розширень (.doc, .docx, .rtf, .txt, .xls, .xlsx, .ppt, .pptx, .vsd, .vsdx, .pdf, .png, .jpeg, .jpg, .zip, .rar, .7z, .mp4, .sql, .php, .vbk, .vib, .vrb, .p7s та .sys, .dll, .exe, .bin, .dat) з метою їх подальшого архівування за допомогою легітимної програми WinRAR з опцією «-df», яка передбачає видалення вихідного файлу, а також подальше видалення створених архівів. Запуск згаданого скрипта здійснено за допомогою запланованого завдання, яке, за попередньою інформацією, було створено та централізовано розповсюджено засобами групової політики (GPO).

В свою чергу виведення з ладу серверів під управлінням ОС Linux було здійснено з використанням BASH-скрипта, що, серед іншого, забезпечував використанням штатної утиліти «dd» для перезапису файлів нульовими байтами.

Доступ до ІКС об'єкта атаки імовірно отримано шляхом підключення до VPN із застосуванням скомпрометованих автентифікаційних даних.

Спосіб реалізації зловмисного задуму, IP-адреси суб'єктів доступу, а також факт використання модифікованої версії RoarBat свідчать про схожість з кібератакою на «Укрінформ». Тому описану активність CERT-UA асоціює з діяльністю угрупування Sandworm.

Наголошується, що успішній реалізації атаки сприяли відсутність багатофакторної автентифікації при здійсненні віддалених підключень до VPN, відсутність сегментації мережі та фільтрації вхідних, вихідних та міжсегментних інформаційних потоків.

Стратегія охолодження ЦОД для епохи AI

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Останні обговорення

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT