У Держспецзв’язку повідомили про чергову кібератаку проти Сил оборони України: деталі

Зображення: Приклад електронного листа та вмісту шкідливого інсталятора/CERT-UA

Джерело: Держспецзв’язку

Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA у взаємодії з Центром кібербезпеки ЗСУ виявила та дослідила ворожу активність угрупування UAC-0020 (Vermin) проти Сил оборони України.

 Що сталося?

  • Група хакерів UAC-0020 (Vermin), пов’язана із силовими відомствами окупованого Луганська, атакувала Сили оборони України.
  • Зловмисники розсилали електронні листи з вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, який містив файл-приманку “Wowchok.pdf”; ЕХЕ-інсталятор “sync.exe” та BAT-файл “run_user.bat”.
  • Файл “sync.exe” містив як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR.
  • Викрадена інформація (документи, файли, паролі) надсилалася на комп’ютер зловмисника за допомогою штатного функціонала синхронізації SyncThing.

Відтак, цього разу у якості засобів реалізації кіберзагрози використано відомий з 2019 року інструментарій – шкідливе програмне забезпечення SPECTR. При цьому, для вивантаження з комп’ютера викрадних документів, файлів, паролів та іншої інформації використано штатний функціонал синхронізації легітимного програмного забезпечення SyncThing, яке, серед іншого, підтримує встановлення peer-to-peer з’єднання між комп’ютерами.

Для проведення кібератаки жертві надіслано електронний лист із вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, захищеного паролем. В зазначеному архіві знаходиться RARSFX-архів “туррель.фоп.вовчок.sfx.rar.scr”, що містить файл-приманку “Wowchok.pdf”, ЕХЕ-інсталятор “sync.exe”, створений за допомогою InnoSetup та BAT-файл “run_user.bat”, призначений для первинного запуску.

Своєю чергою файл “sync.exe” містить як легітимні компоненти програми SyncThing, так і файли шкідливих програм SPECTR, в тому числі допоміжні бібліотеки та скрипти. При цьому, штатні файли програмного забезпечення SyncThing частково модифіковано з метою зміни назв каталогів, запланованих задач, відключення функціонала відображення повідомлень користувачеві тощо.

Міжнародне журі та World Press Photo перепросили за об’єднання в одну візуальну пару двох фоторобіт — “Підземний польовий шпиталь” Нанни Хайтманн та “По той бік окопів” Флоріана Бахмаєра.

Нардеп від “Слуги народу”, член парламентського комітету з питань національної безпеки, оборони та розвідки Федір Веніславський поінформував, що Міністерство оборони розробило новий механізм ротації на фронті, котрий передбачає “кілька місяців відпочинку” після 90 днів безперервної служби та участі у бойових діях.

Адміністрація президента США Дональда Трампа дійшла висновку, що укласти мирну угоду щодо України найближчими місяцями не вдасться, підтвердили двоє американських посадовці. У зв’язку з цим Білий дім розробляє механізми тиску як на Москву, так і на Київ.

Україна надала США підтвердження ударів Росії по енергетичній інфраструктурі, що порушує домовленості про перемир’я, повідомив президент Володимир Зеленський у вечірньому зверненні.

У Генеральному штабі ЗСУ поінформували про оперативну ситуацію станом на 22:00 1 квітня. Від початку цієї доби відбулося 141 бойове зіткнення.