Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA дослідила кібератаку, імовірно асоційовану з угрупуванням Sandworm.
Для виведення з ладу серверного обладнання, автоматизованих робочих місць користувачів та систем зберігання даних зловмисники використали у тому числі і легітимне програмне забезпечення.
Виведення з ладу ЕОМ під управленням ОС Linux здійснено за допомогою BASH-скрипта, що, серед іншого, забезпечував використанням штатної утиліти "dd" для перезапису файлів нульовими байтами.
Спосіб реалізації зловмисного задуму, IP-адреси суб'єктів доступу та використання модифікованої версії RoarBat свідчать про схожість із кібератакою на Укрінформ, інформація про яку була опублікована в одному з російських телеграм-каналів т. зв. "хактивістів" 17 січня цього року. Описану активність із помірним рівнем впевненості CERT-UA асоціює з діяльністю угрупування Sandworm, проте для її точкового відстежування створено відповідний ідентифікатор UAC-0165.
CERT-UA зазначає, що реалізації зловмисного задуму в цій та подібних атаках сприяють відсутність багатофакторної автентифікації при здійсненні віддалених підключень до VPN, а також відсутність сегментації мережі та фільтрації вхідних, вихідних та міжсегментних інформаційних потоків.
Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA закликає не ігнорувати відповідальними співробітниками організацій повідомлень про виявлення ознак аномальної активності та вживати невідкладних заходів зі зменшення "поверхні" атаки.
