СНБО зафиксировало атаку на систему документооборота госорганов Украины со стороны российских хакеров

Ключевые факты

• Целью атаки было массовое заражение информационных ресурсов государственных органов.
• Вредоносные документы содержали макрос, который при открытии файлов скрыто загружал программу для удаленного управления компьютером.
• По сценарию атака относится к так называемым supply chain attack. Это атака на цепочку поставок, при которой атакующие пытаются получить доступ к целевой организации не напрямую, а через уязвимости в инструментах и сервисах, которые та использует.
• Учитывая способы и средства реализации этой кибератаки, ее связывают с одной из хакерских шпионских группировок из Российской Федерации.
• 22 февраля СНБО заявил о российских кибератаках на сайты сектора безопасности и обороны.

Контекст

Масштабной supply chain attack в Украине стала атака NotPetya в 2017 году. Тогда жертвами стали компьютерные сети Кабмина, Госказначейства, Минфина, Пенсионного фонда, «Укрзализныци» и других государственных учреждений и компаний. В некоторых случаях это привело к остановке в работе. Вредоносный программный код распространялся через программное обеспечение МЕДОК.

В декабре 2020 года состоялась самая масштабная кибератака в истории США – Sunburst. Хакеры взломали системы Министерства финансов США, Министерства внутренней безопасности, Национального управления по телекоммуникациям и информации (NTIA), Минторга США, NASA, а также сети Пентагона, Минэнерго и ведомства, занимающегося безопасностью в ядерной сфере. Ряд американских официальных лиц заявили, что за кибератаками стоит хакерская группа APT29, или Cozy Bear, которая связана с российской разведкой.

Кибератака была нацелена на IT-компанию SolarWinds из Остина (штат Техас). Хакеры использовали для своих целей обновления, выпущенные компанией в период с марта по июнь 2020 года. На данный момент ведется расследование.