Россия начало масштабную кибератаку на Украину: вирусы распространяются через поддельные правительственные сайты
23 февраля сайты большинства ключевых государственных учреждений Украины подверглись DDoS атакам. Сайты украинского парламента, Министерства иностранных дел и Совета министров (в том числе все сайты отдельных министерств) оказались недоступны.
Кибер-аналитик Снорре Фагерланд, работающий в сотрудничестве с Bellingcat и изданием The Insider, исследуя атаки на украинские сервисы, обнаружил веб-сайт, который служил центром управления и контроля для хакеров. Этот же центр управления, как удалось установить, был связан и с другими кибератаками в пользу России. Более того, анализируя этот ресурс, мы обнаружили клонированные копии ряда украинских государственных сайтов, в том числе главной страницы Офиса Президента, а также сайты Министерства юстиции Украины и государственного портала петиций.
По крайней мере один из клонированных сайтов, размещенных на stun[.]site, был нацелен на очень широкую целевую аудиторию и, по-видимому, предназначался для заражения как можно большей части населения. Клонированный сайт был основным сайтом президента Украины. Однако на клоне появлялось всплывающее окно, которое предлагало посетителям поддержать Зеленского (надо признать, эта фишинговая атака была обречена на провал, так как любому украинцу понятно, что назвать петицию «Пiдтримайте пана Президента» — «Поддержите господина президента» — мог только человек, не владеющий языком). Петиция призывала конфисковать имущество всех олигархов и «разделить его между всеми гражданами».
Тип вредоносного ПО, развернутого на поддоменах stun[.]site, а также регистратор домена совпадают с теми, что уже использовались в предыдущих кибератаках на украинское правительство в апреля 2021 года, а также на правительство Грузии. Об этих атаках сначала сообщила FortiGuard Labs, а затем Intezer. В ходе этих кибератак на адреса различных организаций в Украине и Грузии, связанных с безопасностью, рассылались фишинговые электронные письма с использованием уловок социальной инженерии с такими темами как: «Новый вариант COVID-21» и «Срочное обновление компьютера». Цель злоумышленников состояла в том, чтобы украсть конфиденциальные документы и файлы и установить Saint Bot Downloader на компьютеры жертв. В Украине атаки были направлены среди прочего на организацию ветеранов АТО.
Специалисты Intezer, как и ряд других специалистов в сфере кибер-безопасности исследователей, атрибутировали эти атаки хакерскому отделу ГРУ, известному как APT28 или Fancy Bear. Их вывод был основан не только на анализе мишеней (связанных с государственной безопасностью ведомствах, представляющих интерес для российского государства), но и на сходстве между этими атаками и предыдущими подтвержденными кампаниями APT28. К ним относятся предыдущее использование фишинговых тем, связанных с Covid-19 и НАТО, для нападения на Украину, использование вредоносного ПО AutoIt, использование шестнадцатеричного кодирования, пакетных файлов, командных оболочек и сценариев cmd. Кроме того, исторические IP-адреса, стоящие за доменными именами, которые использовались в качестве центров управления и контроля, принадлежали российским владельцам.
Домен, на котором были обнаружены украинские клонированные правительственные сайты, явно связан с тем же субъектом, который стоял за атаками 2021 года. По словам исследователя угроз Снорре Фагерланда, впервые обнаружившего кластер субдоменов сайтов-клонов, об этом свидетельствуют не только шаблоны доменных имен (домены, использовавшиеся в кампании 2021 года, включали eumr[.]site, 3236[.]site 3237[. ]сайт 3238[.]сайт), но и общностью вредоносного ПО, размещенного на этих сайтах, и stun[.]сайта.
Несмотря на схожесть размещенных вредоносных программ, недавно обнаруженный командный центр хакеров (отключенный после того, как специалисты в области кибер-безопасности предупредили хостинг-провайдеров о найденной вредоносной программе) отличался от сайтов 2021 года тем, что на нем размещались клоны государственных украинских веб-сайтов, нацеленные на широкие слои населения, а не на узкую группу организаций, связанных с безопасностью, которые могут владеть закрытыми конфиденциальными данными. Кроме того, большинство выявленных клонированных сайтов содержат разделы входа в систему, которые могут быть полезны для кражи учетных данных в фишинговых кампаниях. Единственным исключением был субдомен, созданный для входа в систему для депутатов украинского парламента.
Субдомены, размещенные на этом веб-сайте, включали клон веб-сайта Министерства юстиции, ранее находившийся на сайте http://erb.minjust.gov.ua.stun[.] и впервые обнаруженный в интернете 21 декабря 2021 года, а также портал администрации президента, ранее http://petition.president.gov.ua.petition.president.