Команда реагирования на компьютерные чрезвычайные события CERT-UA предупредила о подготовке возможной кибератаки на компьютерные системы Украины.
Об этом проинформировали в пресс-службе CERT-UA.
“CERT-UA совместно со Службой внешней разведки Украины обнаружила новые модификации вредоносного программного обеспечения типа Pterodo на компьютерах государственных органов Украины, что, вероятно, является подготовительным этапом для проведения кибератаки. Указанный вирус собирает данные о системе, регулярно отправляет их на командно-контрольные серверы и ожидает дальнейших команд”, – отмечается в сообщении.
Версия NEW-SAR_v.14
Основным отличием модификации от предыдущих версий является возможность инфицирования системы через флэш-накопители и другие съемные носители информации, а также инфицирования флэш-накопителей, подключаемых к пораженному компьютеру для дальнейшего распространения.
Документы (.doc, .docx), изображения (.jpg) и текстовые файлы (.txt) копируются в скрытую папку MacOS с названиями FILE <произвольное число> <расширение> (например, FILE3462.docx), а на флэш-накопителе создаются ярлыки с оригинальными названиями файлов, которые обеспечивают одновременное открытие скопированного в папку MacOS оригинала файла и выполнение созданного вредоносного файла usb.ini.
Тело вируса всех версий выполняет такие же функции, как и предыдущие версии: направляет информацию о системе, самообновляется и при наличии загружает компоненты.
Кроме того, данная версия активируется только в системах с локализацией языков постсоветских государств, а именно: украинский, белорусский, русский, армянский, азербайджанский, узбекский, татарский и другие. Это усложняет анализ вируса популярными автоматическими системами анализа вредоносного ПО.
Версия arm_02.10
Основным отличием модификации является отображение сообщения при активации файла, что не позволяет сразу понять, что это запустилась вредоносная программа.
Кроме того, в данной версии для каждой пораженной системы есть индивидуальная url-директория с серийным номером накопителя, на котором установлена система (например, bitsadmin.ddns[.]net/00000/setup.exe, где “00000” – серийный номер, свидетельствующий о том, что злоумышленники анализируют полученную информацию об инфицированной системе и индивидуально для каждой системы определяют, какие новые приложения загружать и запускать).
Фото: cert.gov.ua
“Почерк” вредоносного программного обеспечения характерен для целенаправленных APT-атак и может свидетельствовать о подготовке к целенаправленной кибератаке на компьютерные системы Украины. Бэкдор Pterodo устанавливает скрытый доступ к компьютерным системам с целью использования или контроля в будущем, что может привести к утечке информации, блокированию работы, шифрованию данных и другим злонамеренным действиям”, – подчеркивают в CERT-UA.
Вредные домены и IP (C2):
Версия: NEW-SAR_v.14:
hxxp://updates-spreadwork[.]pw – домен по состоянию на 13.11 был не активный.
Версия: arm_02.10:
hxxp://dataoffice.zapto[.]orghxxp://bitsadmin.ddns[.]net.
Домены зарегистрированы в организации, оказывающей услуги динамических доменных адресов (DDNS), что позволяет быстро менять IP-адрес и скрывать реального владельца домена.
Вредоносные файлы:
Версія: NEW-SAR_v.14:
AdobeNetwork.exe (На флэш-накопителях- usb.ini)ImagingDevices.exewinhost.cmddoc.lnkjpg.lnktxt.lnkSoftwarelink.lnkflash.vbs
Директории, в которых размещаются упомянутые файлы:
Windows 7 та 10
%APPDATA%Adobe%APPDATA%MicrosoftWindowsStart MenuProgramsStartup
WinXP
%WINDIR%Adobe%USERPROFILE%Главное менюПрограммьіАвтозагрузка
Для всех ОС:
%TMP%7zSfz000
Версия: arm_02.10:
“Документ Microsoft Office Word.com” “Cookie.exe””cokies.vbs””Cookies.sys””document.rar””CookiesERR.cmd”macupdates.exe (для каждой системы может быть уникальный, одинаково только название).
Директории, в которых размещаются вредоносные файлы:
%APPDATA%LocalTemp7ZipSfx.001%APPDATA%LocalTemp 7ZipSfx.000%USERPROFILE%CookiesERR%APPDATA%Microsoft IE%APPDATA%MicrosoftWindowsStart MenuProgramsStartup%USERPROFILE%
Контрмеры для удаления вируса:
– просканировать антивирусом;
– проверить вышеуказанные директории на наличие файлов. При обнаружении файлов – нужно удалить их из директории;
– проверить планировщик задач на наличие указанных записей (следует удалить их):
Фото: Скриншот
Рекомендации по предупреждению угрозы:
– обеспечить запрет на открытие вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают вопросы: например, автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и т.д.), а также в сообщениях с нестандартным текстом, побуждающим к переходу на подозрительные ссылки или к открытию подозрительных файлов;
– отключить автозапуск сменных носителей информации (флэш-накопителей) и проверять их антивирусом при подключении;
– при наличии подозрительного письма от известного адресата в телефонном режиме (или любым другим способом) проверить отправление такого письма. В случае неподтверждения – сохранить его на диск, заархивировать и переслать для исследования в CERT-UA;
– будьте бдительны при любых нестандартных ситуациях (например, при отображении сообщения операционной системой о невозможности открытия файла, необходимости установки программного обеспечения, запроса на разрешение выполнения операции);
– нужно отключить от сети Интернет подозрительное устройство для дальнейшей проверки;
– выключить шифрование, если оно разрешено;
– проверить выключение макросов в редакторе Microsoft Office Word;
– нужно использовать антивирус с обновленными базами сигнатур и лицензионную, обновленную операционную систему, а также программное обеспечение;
– регулярно осуществлять резервное копирование важных файлов, обновлять пароли доступа к важным системам и сканировать системы антивирусом.
СПРАВКА. Команда реагирования на компьютерные чрезвычайные события Украины (англ. Computer Emergency Response Team of Ukraine, CERT-UA) – специализированное структурное подразделение Государственного центра киберзащиты и противодействия киберугрозам Государственной службы специальной связи и защиты информации Украины. Основано в 2007 году.
В феврале этого года был обнародован доклад директора Национальной разведки США Дэна Коутса о глобальных угрозах, согласно которому в 2018 году РФ может активизировать кибератаки против Украины.
В ноябре прошлого года в СНБО сообщили, что Российская Федерация совершила три мощных волны кибератак против Украины в течение последних двух лет.
24 октября 2017 года команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Государственной службы специальной связи и защиты информации предупредила, что информационные ресурсы Украины могут подвергнуться новой волне кибератак.
27 июня прошлого года в Украине начал стремительно распространяться компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий. В результате хакерских атак пострадали такие компании: “Киевэнерго”, “Укрэнерго”, “Антонов”, ДТЭК, “Укртелеком”, “Эпицентр”, “Укрзализныця”, аэропорт “Борисполь”, “Новая почта”, Киевводоканал, “Укрпочта”,Киевский метрополитен. Впоследствии в Службе безопасности Украины заявили о причастности спецслужб Российской Федерации к атаке вируса Petya.A.
