Команда CERT-UA зафіксувала кібератаку на об'єкт критичної енергетичної інфраструктури - Держспецзв'язку
Хакерське угруповання АРТ28, яке пов'язують зі спецслужбами РФ, спробувало атакувати об'єкт критичної енергетичної інфраструктури, повідомила Державна служба спеціального зв'язку та захисту інформації (Держспецзв'язку) в телеграм-каналі.
"Урядова команда реагування на комп'ютерні надзвичайні події CERT-UA, при Держспецзв'язку, зафіксувала і дослідила цільову кібератаку угруповання АРТ28 на об'єкт критичної енергетичної інфраструктури", - ідеться в повідомленні.
Зазначається, що зловмисники намагалися здійснити атаку за допомогою розповсюдження повідомлень електронної пошти з підробленою адресою відправника та посиланням на zip-архів, зокрема "photo.zip", відкриття якого зрештою могло дати хаккерам доступ до системи організації та її даних.
Зазначається, що кібератака здійснювалася з використанням легітимних сервісів (зокрема, Mockbin) і функціоналу штатних програм.
"Відповідальному співробітнику зазначеного об'єкта критичної енергетичної інфраструктури вдалося уникнути кібератаки завдяки обмеженій можливості доступу до веб-ресурсів сервісу Mockbin (mockbin.org, mocky.io) і блокування запуску Windows Script Host (зокрема, "wscript.exe") на комп'ютері", - наголошується в повідомленні.
У Держспецзв'язку нагадали, що один із перших випадків використання сервісу Mockbin було зафіксовано ще у квітні 2023 року.
"Очевидно, що для обходу засобів захисту зловмисники продовжують використовувати функціонал штатних програм (так звані LOLBAS - Living Off The Land Binaries, Scripts and Libraries), а для створення каналу управління зловживають відповідними сервісами", - констатували в Держспецзв'язку.
Зазначається, що хакери угруповання АРТ28, яке також відоме як Pawn Storm, Fancy Bear, BlueDelta і може бути пов'язаним зі спецслужбами російської федерації, у липні намагалися здійснити кібератаку, спрямовану на викрадення даних українців для входу в поштові сервіси, у червні організувати шпигунську кампанію (була виявлена у співпраці з Recorded Future), у квітні - атакувати держоргани фейковими "оновленнями операційної системи".
