Украинские власти обвинили «русских хакеров» во взломе правительственных сайтов
Изображение: xusenru (pixabay)
На этой неделе хакеры из группировки Ember Bear (часто идентифицируются как группы UAC-0056 или Lorec53) провели атаку на несколько украинских правительственных сайтов, используя бэкдор, установленный ещё в конце 2021 года. Это обнаружила группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA).
В CERT-UA также отметили, что хакеры использовали GOST (Go Simple Tunnel) и Ngrok, чтобы установить бэкдор HoaxPen. Кроме того, они создали специальную веб-оболочку, чтобы развернуть CredPump, HoaxPen и HoaxApe.
Эксперты по кибербезопасности из CERT-UA обнаружили кибератаку утром 23 февраля текущего года, когда заметили веб-оболочку на одном из скомпрометированных сайтов. По данным специалистов, группировка Ember Bear (UAC-0056, Lorec53) использовала её для установки вспомогательного вредоносного софта во внутренние сети целевых учреждений.
В заявлении правительства Украины на официальном сайте ведомства говорится о том, что 23 февраля была выявлена кибератака на несколько веб-ресурсов, принадлежащих государственным структурам и украинского местного самоуправления. В результате инцидента информационной безопасности было изменено содержание некоторых веб-страниц. Также отдельно подчеркивается, что ведется активное расследование киберинцидента.
В Украинской госслужбе спецсвязи и защиты информации уточнили, что выявленный киберинцидент не привел к значительным системным сбоям или нарушениям, которые потенциальном могли бы оказать влияние на работу органов госвласти Украины.
Группировка хакеров Ember Bear, которая, по информации Киева, была причастна к этому киберинциденту, является активной с марта 2021 года. Группа ориентирована на атаки против организаций Украины через бэкдоры, похитители информации и шифровальщики. Всё вредоносное ПО группировки Ember Bear, как правило, распространяется через фишинговые email-письма. Также существуют подозрения у экспертов по кибербезопасности, что Ember Bear связана с атаками на североамериканские и европейские организации. Западные СМИ и профильные компании по кибербезу часто указывают на связь Ember Bear с российскими властями, но никаких подтверждений этому нет.
Источник: cisoclub.ru