Російські хакери намагалися атакувати об’єкт енергетичної інфраструктури України

Угрупування пов’язують з спецслужбами РФ.

Хакерське угрупування АРТ28, яке пов’язують зі спецслужбами РФ, намагалося атакувати об'єкт критичної енергетичної інфраструктури України, повідомляє Держспецзв’язку. Як встановила Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, для реалізації свого задуму зловмисники використовували повідомлення електронної пошти з підробленою адресою відправника та посиланням на архів, інформує ZN.ua.

Російські хакери атакують об'єкти енергетичної інфраструктури

© unsplash/nahelabdlhadi

Відвідування посилання призведе до завантаження на ЕОМ жертви ZIP-архіву, що містить три JPG-зображення (приманки) та BAT-файл weblinks.cmd. У випадку запуску CMD-файлу буде відкрито декілька вебсторінок-приманок, створено файли .bat і .vbs, а також здійснено запуск VBS-файлу, який, у свою чергу, виконає BAT-файл.

За словами спеціалістів, на комп’ютері жертви створювалися файли та «приховані» сервіси, призначені для перенаправлення інформаційних потоків через мережу TOR на відповідні хости локальної обчислювальної мережі. Крім того, зловмисники використовували сценарій для отримання хешу паролю облікового запису.

Фахівці звертають увагу, що кібератаку здійснювали із використанням легітимних сервісів (зокрема, Mockbin) та функціоналу штатних програм.

Вони також відзначають, що завдяки обмеженню можливості доступу до вебресурсів сервісу Mockbin та блокуванню запуску Windows Script Host на ЕОМ, відповідальному співробітникові згаданого об'єкту критичної енергетичної інфраструктури вдалося запобігти кібератаці.