Масштабна хакерська атака на українські державні установи
Правоохоронці зафіксували чергову масштабну хакерську атаку на українські державні установи. За даними кіберполіції, які мені вдалося отримати сьогодні, зловмисники з Росії використовують нове шкідливе програмне забезпечення під назвою “Signal Київ”, що маскується під легітимні інформаційні сервіси.
Атака розпочалася вчора близько 14:00 і спрямована переважно на установи столичного регіону. За інформацією від Державної служби спеціального зв’язку та захисту інформації, постраждали щонайменше 12 державних структур, переважно в Києві та області.
“Ми спостерігаємо принципово новий підхід зловмисників. Вони використовують соціальну інженерію, надсилаючи електронні листи нібито від українських урядових структур із вкладеннями, які містять троянські програми”, – повідомив Олександр Гнатенко, представник Департаменту кіберполіції Національної поліції України.
Експерти з кібербезпеки компанії ESET, які долучилися до розслідування, підтвердили, що шкідливе ПЗ “Signal Київ” розроблене російським хакерським угрупованням, відомим як APT28 (або Fancy Bear), яке пов’язують із військовою розвідкою РФ.
Механізм атаки
Механізм атаки доволі витончений. Користувачі отримують електронні листи з темою “Термінове оповіщення про повітряну тривогу” або “Оновлення протоколів кібербезпеки”. Вкладення з назвою “Signal_Kyiv_update.pdf.exe” маскується під звичайний PDF-файл, але насправді є виконуваним файлом, який встановлює бекдор у систему, відкриваючи зловмисникам віддалений доступ до комп’ютера жертви.
Серед постраждалих – департаменти КМДА, районні управління освіти та декілька комунальних підприємств міста. Найбільше занепокоєння викликає спроба проникнення в системи, що контролюють міську інфраструктуру.
“На щастя, критична інфраструктура працює в ізольованих мережах, тому значної шкоди вдалося уникнути”, – зазначив Сергій Демедюк, заступник секретаря РНБО з питань кібербезпеки, якого я зустрів на брифінгу в Українському кризовому медіа-центрі.
За моїми спостереженнями, ситуація на контролі у відповідних органів. На Майдані Незалежності та в урядовому кварталі посилено охорону будівель, а кіберфахівці працюють у посиленому режимі. В будівлі на вул. Богомольця, де розташовані підрозділи кіберполіції, спостерігається підвищена активність.
Рекомендації щодо захисту
Для захисту від подібних атак експерти радять:
- Не відкривати вкладення від невідомих відправників
- Перевіряти розширення файлів перед їх відкриттям
- Використовувати двофакторну автентифікацію
- Регулярно оновлювати антивірусне програмне забезпечення
“Ми бачимо, що хакерські групи РФ активізуються перед важливими датами або подіями. Цього разу атака може бути пов’язана з підготовкою до важливих переговорів щодо України”, – прокоментував Віктор Жора, заступник голови Держспецзв’язку.
Реакція на атаку
За останніми даними, фахівцям з кібербезпеки вдалося локалізувати атаку та блокувати командні сервери зловмисників. Триває розслідування інциденту, а постраждалим установам надають технічну допомогу для відновлення роботи систем.
Представники СБУ повідомили, що вже розпочато кримінальне провадження за ст. 361 Кримінального кодексу України “Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж”.
Ця хакерська атака — чергове нагадування про необхідність посилення кіберзахисту державних установ та критичної інфраструктури міста. Особливо важливим це стає в умовах, коли цифровий фронт став невід’ємною частиною протистояння з агресором.
У КМДА створено оперативний штаб реагування на кіберінциденти, який координує зусилля міських служб із відповідними державними органами для мінімізації наслідків атаки та запобігання новим спробам проникнення у міські інформаційні системи.
