Маскувався під сайт президента. Держспецзв'язку заблокувала фішинговий сайт
Програма призначалася для пошуку та ексфільтрації документів, зазначили на сайті урядової команди реагування на комп'ютерні надзвичайні події України Cert-Ua.
Люди отримували листи з посиланням на сторінку фальшивого вебсайта "Повний список високооплачуваних посад", розповіли в Держспецзв'язку. Після переходу за посиланням на комп'ютер користувача завантажувався файл, після відкриття якого запускалися шкідливі процеси завантаження вірусу, збір інформації про конфігурацію комп'ютера та інформації користувача.
Станом на 15.15 13 липня доступ до вебсайта заблоковано.
У процесі дослідження інциденту встановили, що використання таких тактик, технік процедур і об'єктів атаки, а також аналогічних зразків шкідливих програм відстежують щонайменше з квітня 2021 року.
Контекст:
2020 року, за даними Ради національної безпеки і оборони, в Україні зафіксували не менше як 1 млн кібератак. Уразливі вебсервери державних органів інфікували вірусом, який приховано робив їх елементом бот-мережі, використовуваної для DDoS-атак на інші ресурси. Системи безпеки інтернет-провайдерів визначали скомпрометовані вебсервери як джерело атак і починали блокувати їхню роботу через автоматичне внесення в чорні списки.
2021 року вже неодноразово фіксували і блокували DDoS-атаки на вебсайти Офісу президента України, СБУ, сайт ВМС України та інші ресурси.
РНБО 22 лютого попереджала, що зловмисники почали використовувати новий механізм кібератак на сайти сектору безпеки і оборони України. 24 лютого РНБО повідомила про кібератаки на систему документообігу держорганів вірусом, схожим на Petya.