23 лютого виявлено атаку на низку вебресурсів українських державних та місцевих органів влади, внаслідок якої було модифіковано вміст кількох сторінок на цих ресурсах, повідомляє Держспецзв'язку.
Наразі, в рамках Об’єднаної групи з реагування при НКЦК, фахівці Держспецзв’язку, СБУ та Департаменту Кіберполіції спільно працюють над локалізацією та дослідженням обставин кіберінциденту.
На даний момент можна стверджувати, що інцидент не призвів до суттєвого порушення працездатності систем та не вплинув на виконання державними органами своїх функцій. Роботу більшості інформаційних ресурсів вже відновлено і вони працюють в штатному режимі.
Як бачимо, напередодні річниці повномасштабного вторгнення росія продовжує нагадувати про себе в кіберпросторі, де вона давно поводиться як держава-терорист, атакуючи цивільні цілі.
Як повідомили в CERT-UA, станом на 11:00 23.02.2023 на одному з веб-сайтів виявлено раніше відомий шифрований веб-шел, а також, підтверджено факт його використання у період з 22:00 22.02.2023 по 05:30 23.02.2023, в результаті чого, серед іншого, в кореневому веб-каталозі створено файл "index.php", який забезпечував модифікацію вмісту головної сторінки веб-ресурсу. Взаємодія з веб-шелом здійснювалася з IP-адрес, які, в т.ч., належать граничним пристроям інших постраждалих організацій. Зазначене стало можливим в результаті компрометації облікових записів та подальшого підключення до VPN-концентраторів відповідних організацій.
Крім того, ідентифіковано раніше відомий SSH-бекдор CredPump (PAM-модуль), який забезпечує прихований віддалений SSH-доступ (із статичним значенням паролю) та логування логінів та паролів під час підключення за допомогою SSH.
Також, виявлено бекдори HoaxPen та HoaxApe (у вигляді модулю для веб-серверу Apache), що забезпечують можливість виконання команд та були встановлені у лютому 2022 року.
Зауважимо, що згідно часових атрибутів, веб-шел створено не пізніше 23.12.2021; при цьому, для завантаження PHP-бекдору використано штатний функціонал веб-сайту (перевірку типу завантажуваних файлів не імплементовано).
Слід додати, що на ранніх етапах кібератаки застосовано GOST (Go Simple Tunnel) та програму Ngrok (зокрема, для публікації в Інтернет сокету HoaxPen).
За сукупністю ознак можемо зробити попередній висновок про те, що порушення штатного режиму функціонування досліджених веб-ресурсів здійснено групою UAC-0056 (DEV-0586, unc2589).
Очевидно, що передумови для несанкціонованого віддаленого доступу створено заздалегідь.