Три волны кибератаки на украинских политиков, чиновников и экспертов были предприняты в феврале с командно-контрольного центра, находящегося в Российской федерации. Об этом заявила команда CERT-UA, работающая в рамках Госспецсвязи Украины, - пишет PCWEEK.UA.
Первая рассылка фишинговых писем, в которых содержались ссылки на загрузку вредоносных файлов была зафиксирована 13 февраля. О ней сообщил эксперт по вопросам безопасности связи Анатолий Дробаха. Он был одной из целей атаки.
Поскольку злоумышленники допустили ошибку и не закрыли список адресатов, число которых составляло 70 человек, Анатолий смог сделать вывод, что целью атаки были политики и госчиновники высокого ранга.
"Всего перечень содержал почти 70 адресов, притом, как оказалось, там было несколько людей из Министерства промполитики, из Верховной Рады, из УкрОборонпрома", - говорит Анатолий.
Письмо называлось "Ситуационный анализ-прогноз" и рассылалось с электронного адреса antiteror2@ukr.net. В письме содержался призыв как можно скорее загрузить прилагаемые файлы: «Это письмо содержит ссылки на временные файлы, которые будут удалены 22.02.2018. Пожалуйста, сохраните файлы на локальный диск».
Анализ рассылки специалистами CERT-UA выявил, что эти файлы содержали вредоносные коды. После их скачивания разворачивался blackdoor, который загружал троян, устанавливающий дистанционный контроль над операционной системой жертвы.
"При этом, один из командно-контрольних центров(«gordon6.hopto.org») был размещен в РФ", - сообщает CERT-UA.
Всего рассылок было три, все они мели разные заголовки и были отправлены с разных адресов. "Таким образом, судя по всему, это была тщательно спланированная акция, но некоторые ошибки со стороны киберпреступников не позволили ей достичь успеха" - делает вывод издание.
Следующая рассылка была произведена 14 февраля. Она производилась с адреса otkachenko@me.gov.ua с темой сообщения "Награда". Третья рассылка осуществлялась с адреса a224368_1@s8.h.mchost.ru с темой «On Behalf Of Mission of Ukraine to NATO».
Как показал анализ CERT-UA, вредоносные файлы во всех рассылках имеют имеют одни и те же командно-контрольные центры, один из которых gordon6.hopto.org.
Эксперты предполагают, что атака была предпрнята одной из спецслужб России, чтоб получить доступ к компьютерным устройствам жертв. Цель атаки – от кражи информации до подслушивания и иных шпионских действий.
Любопытно, что одной из потенциальных жертв атаки был народный депутат, один из лидеров палаточного лагеря под Верховной Радой Семен Семенченко.
