Що сталось
За даними дослідників, хакери, ідентифіковані як група APT28 (також відома як Fancy Bear, Pawn Storm, Strontium), використовують нещодавно виявлену вразливість у Zimbra Collaboration Suite (ZCS) для отримання несанкціонованого доступу до систем українських державних установ. Ці атаки спрямовані на викрадення конфіденційної інформації та потенційне порушення роботи критичної інфраструктури.
Технічні деталі
Вразливість, яку експлуатує APT28, дозволяє зловмисникам виконувати довільний код на серверах Zimbra. Це може призвести до повного компрометування системи, включаючи доступ до електронної пошти, календарів, контактів та інших чутливих даних. Група APT28 відома своїми складними та цілеспрямованими кіберопераціями, які часто пов'язані з державною розвідкою Російської Федерації.
Кому загрожує
Основною мішенню цих атак є українські державні установи, включаючи міністерства, відомства та інші урядові організації, які використовують Zimbra Collaboration Suite для своєї внутрішньої комунікації та управління даними. Однак, враховуючи широке розповсюдження платформи ZCS, потенційною загрозою можуть бути охоплені й інші організації, які мають зв'язки з державним сектором або зберігають важливу інформацію.
Рекомендації
У зв'язку з цими атаками, CERT-UA та інші експерти з кібербезпеки наполегливо рекомендують:
- Негайно встановити оновлення безпеки для всіх інсталяцій Zimbra Collaboration Suite, які випускаються розробником для усунення виявленої вразливості.
- Провести аудит безпеки серверів ZCS для виявлення ознак компрометації або несанкціонованого доступу.
- Посилити моніторинг мережевої активності на предмет підозрілих з'єднань та спроб доступу до серверів ZCS.
- Переглянути та оновити політики безпеки щодо управління доступом та автентифікації користувачів.
