Хакерская группировка АРТ28, которую связывают со спецслужбами РФ, пыталась атаковать объект критической энергетической инфраструктуры Украины, сообщает Госспецсвязи. Как установила правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, для реализации своей затеи злоумышленники использовали сообщения электронной почты с поддельным адресом отправителя и ссылкой на архив.
Посещение ссылки приведет к загрузке на ЭВМ жертвы ZIP-архива, содержащего три JPG-изображения (приманки) и BAT-файл weblinks.cmd. В случае запуска CMD-файла будет открыто несколько веб-страниц-приманок, созданы файлы.bat и.vbs, а также запуск VBS-файла, который, в свою очередь, выполнит BAT-файл.
По словам специалистов, на компьютере жертвы создавались файлы и скрытые сервисы, предназначенные для перенаправления информационных потоков через сеть TOR на соответствующие хосты локальной вычислительной сети. Кроме того, злоумышленники использовали сценарий для получения пароля хеша учетной записи.
Специалисты обращают внимание на то, что кибератаку осуществляли с использованием легитимных сервисов (в частности, Mockbin) и функционала штатных программ.
Они также отмечают, что благодаря ограничению возможности доступа к веб-ресурсам сервиса Mockbin и блокированию запуска Windows Script Host на ЭВМ, ответственному сотруднику упомянутого объекта критической энергетической инфраструктуры удалось предотвратить кибератаку.
Ранее США и их союзники предупредили о том, что российские военные хакеры атаковали мобильные устройства украинских военных, пытаясь похитить конфиденциальную информацию с поля боя, которая могла бы помочь Кремлю в войне против Украины.