Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA попереджає про цільову активність угруповання UAC-0212 стосовно розробників та постачальників рішень автоматизованих систем управління технологічними процесами (АСУТП) з метою здійснення кібератак на об’єкти критичної інфраструктури України.
Від початку січня до 20 лютого 2025 року здійснено кібератаки стосовно щонайменше двадцяти п’яти українських підприємств, що займаються розробленням АСУТП та пов’язаними електромонтажними роботами, а також – ще на чотири підприємства, які спеціалізуються на проєктуванні та виробництві техніки для сушіння, транспортування і зберігання зерна.
Поверхневий аналіз портфоліо та тендерної документації дозволяє дійти висновку про те, що компанії-постачальники рішень АСУТП надають послуги сотням українських підприємств, які забезпечують життєво важливі функції, такі як енергозабезпечення, тепло- та водопостачання і водовідведення.
На етапі первинної компрометації зловмисники під виглядом потенційного замовника протягом кількох діб листуються з потенційної жертвою, спонукаючи її до необхідності ознайомитися з «технічною документацією» у вигляді PDF-документа зі спотвореним змістом.
Виявлення цієї активності (відстежується за ідентифікатором UAC-0212, який є субкластером UAC-0002) свідчить про чіткі наміри зловмисників проникнути до комп’ютерних мереж постачальників послуг з метою подальшого використання отриманих даних для компрометації ІКС підприємств критичних галузей промисловості та життєзабезпечення.
Фахівці CERT-UA нагадують, що у березні 2024 року вдалося розкрити масштабний зловмисний задум угруповання UAC-0133, яке також є субкластером UAC-0002 (Sandworm, APT44, Seashell Blizzard). Тоді хакери намагалися порушити стале функціонування інформаційно-комунікаційних систем (ІКС) близько двадцяти підприємств галузі енергетики, водо- та теплопостачання у десяти регіонах України.
Окрім того, ще від другої половини 2024 року фахівці відмічають застосування кіберзловмисниками нових тактик, технік та процедур, які, зокрема, передбачають відправлення жертві небезпечного PDF-документа, відкриття якого врешті призводить до проникнення хакерів у мережі.
Згідно з результатами дослідження низки пов’язаних кампаній, що відбулися у період з липня 2024 року по лютий 2025 року, угруповання здійснювало цільові атаки стосовно підприємств-постачальників не тільки з України, але і з Сербії, Чехії та інших країн.
Більше деталей про загрозу, приклади ланцюга ураження, дослідження попередніх кібератак угруповання – на сайті CERT-UA за посиланням.
Якщо опублікована інформація щодо кібератак виглядає «знайомою», не зволікайте і звертайтеся до Урядової команди реагування на комп’ютерні надзвичайні події України. Фахівці допоможуть провести комп’ютерно-технічне дослідження та за потреби нададуть допомогу у реагуванні на інцидент.
За інформацією Держспецзв'язку