РНБО зафіксувало атаку на систему документообігу держорганів України з боку російських хакерів

Ключові факти

• Метою атаки було масове зараження інформаційних ресурсів державних органів.
• Шкідливі документи містили макрос, який під час відкриття файлів приховано завантажував програму для віддаленого управління комп’ютером.
• За сценарієм атака належить до так званих supply chain attack. Це атака на ланцюжок поставок, під час якої атакуючі намагаються отримати доступ до цільової організації не напряму, а через вразливості в інструментах і сервісах, які вона використовує.
• Зважаючи на способи та засоби реалізації цієї кібератаки, її пов’язують з одним із хакерських шпигунських угруповань із Російської Федерації.
• 22 лютого РНБО заявив про російські кібератаки на сайти сектору безпеки і оборони.

Контекст

Наймасштабнішою supply chain attack в Україні стала атака NotPetya у 2017 році. Тоді жертвами стали комп'ютерні мережі Кабміну, Держказначейства, Мінфіну, Пенсійного фонду, «Укрзалізниці» та інших державних установ і компаній. Подекуди це призвело до зупинки в роботі. Шкідливий програмний код поширювався через програмне забезпечення МЕДОК.

У грудні 2020 року відбулася наймасштабніша кібератака в історії США – Sunburst. Хакери зламали системи Міністерства фінансів США, Міністерства внутрішньої безпеки, Національного управління з телекомунікацій та інформації (NTIA), Мінторгу США, NASA, а також мережі Пентагону, Міненерго і відомства, що займається безпекою в ядерній сфері. Низка американських офіційних осіб заявили, що за кібератаками стоїть хакерська група APT29, або Cozy Bear, яка пов'язана з російською розвідкою.

Кібератака була націлена на IT-компанію SolarWinds з Остіна (штат Техас). Хакери використовували для своїх цілей оновлення, випущені компанією в період з березня по червень 2020 року. Наразі триває розслідування.