Как хакеры использовали Word для атаки на научно-исследовательское учреждение Украины: раскрыты подробности

Государственная служба специальной связи и защиты информации Украины раскрыла подробности хакерской атаки на одно из научно-исследовательских учреждений Украины 8 июля. Для этого злоумышленники использовали обычный Word.

Об этом сообщает пресс-служба Госспецсвязи.

Там отметили, что правительственная команда реагирования на чрезвычайные компьютерные события страны CERT-UA исследовала соответствующую кибератаку преступной группировки UAC-0063. Злоумышленникам удалось получить доступ к аккаунту е-почты одного из работников, воспользовавшись пробелами в киберзащите организации, и разослав вредоносный макрос через Word-документ.

Благодаря этому на пораженных компьютерах были установлены вредоносные программы HATVIBE и CHERRYSPY. Это позволило хакерам получить противоправный доступ к компьютерам.

При этом в ходе исследования специалисты обнаружили, что атаки с использованием подобных средств также могли совершаться против Минобороны Армении.

В Госспецсвязи заявляют, что есть основания ассоциировать соответствующую преступную активность с группировкой APT28 (UAC-0001), аффилированной с российской военной разведкой.

В связи с этим CERT-UA выступило с призывом к руководителям организаций и системных администраторов воспользоваться рекомендациями по кибербезопасности. В частности:

• необходимо настроить двухфакторную аутентификацию для учетных записей электронной почты;
• четко разграничить уровни доступа;
• имплементировать политики для блокировки вероятности запуска макросов, mshta.exe, других приложений (в том числе, интерпретатора Python).

"Не применяя эти рекомендации, вы невольно помогаете врагу достигать злоумышленных намерений по дестабилизации нашей страны", - добавили в ведомстве.

Ранее мы писали, что 19 июля по всему миру наблюдались технические сбои и неурядицы, повлиявшие на работу компаний в разных сферах из-за пробелов в программе безопасности.