Фото: Getty Images

Хакеры регулярно атакуют украинские сайты

На компьютерах пользователей установлена программа Remote Utilities, которая обеспечивает скрытый удаленный доступ к устройству третьим лицам.

Группа реагирования на чрезвычайные ситуации Украины CERT-UA, которая действует в рамках Государственной службы специальной связи и защиты информации, предупреждает о попытках кибератак на украинские организации и учреждения с использованием законной программы удаленных коммунальных услуг. Об этом сообщил Центр стратегических коммуникаций и информационной безопасности в субботу, 29 января.

"Массовые кибератаки, произошедшие 13-14 января, продолжаются", - говорится в сообщении центра в Telegram-канале.

По его данным, начиная с пятницы, существует список рассылки с судебными запросами. Несмотря на то, что рассылка ведется с официальных адресов судебных органов, запросы фальсифицируются, а вредоносное программное обеспечение загружается по ссылкам в письме.

"Проблема усугубляется тем фактом, что рассылка осуществляется с реальных почтовых серверов судебной власти. Таким образом, электронные письма проходят спам-фильтры и вызывают доверие. Возможно, что были скомпрометированы только отдельные адреса судов, хотя не следует исключать, что может быть скомпрометирован весь почтовый сервер", - говорится в сообщении.

Департамент считает, что, поскольку роль электронной почты как официального средства коммуникации в судебном процессе была усилена законодательством в Украине"аналогичный вектор атак будет развиваться в будущем".

Также указывается, что сообщения электронной почты содержат ссылку на защищенные паролем RAR и/или ZIP-архивы (например, Запрос суда № 997836477463567677822.rar_pass_123.zip), размещенные на общедоступных сервисах Google Drive и DropMeFiles.

Если получатель сообщения загрузит и распакует такой архив, на его компьютере будет установлена программа Remote Utilities. Это, в свою очередь, обеспечит скрытый удаленный доступ к устройству третьим лицам. В то же время возможность программы обновлять активность после перезагрузки компьютера обеспечивается созданием службы RManService.

"Такие кибератаки являются систематической деятельностью, которая осуществляется против государственных органов Украины (но не только) и отслеживается CERT-UA по идентификатору UAC-0096", - отметили в службе.

Для удаления вредоносного ПО в Государственной службе связи рекомендуется остановить службу Rmanservice, удалить каталог %PROGRAMFILES(X86)%Удаленные утилиты - Хост, удалить раздел реестра HKLMSOFTWAREUsoris.

Напомним, что в ночь на 14 января в Украине была осуществлена кибератака, в результате которой вышло из строя около 70 правительственных и региональных сайтов. Эксперты изначально предполагали, что речь идет о киберпреступниках из Российской Федерации. Цель хакеров - дестабилизировать внутреннюю ситуацию в стране, посеять хаос и уныние в обществе. Однако позже заместитель секретаря СНБО Сергей Демедюк заявил, что за кибератакой могла стоять хакерская группировка UNC1151, связанная с белорусской разведкой.