Українські фахівці з кібербезпеки зафіксували та підтвердили активність проросійської хакерської групи, яка здійснила цілеспрямовану фішингову кампанію. Особливістю цієї атаки стало використання зловмисниками ідентичності Національної команди реагування на комп'ютерні надзвичайні події України (CERT-UA). Метою кампанії було введення в оману отримувачів електронних листів для отримання несанкціонованого доступу до їхніх систем.
Кампанія базувалася на методах соціальної інженерії, де зловмисники розсилали фішингові листи, що візуально імітували офіційні повідомлення від CERT-UA. Це дозволяло обійти стандартні механізми фільтрації та викликати довіру в потенційних жертв. Зазвичай такі листи містять шкідливі посилання або вкладення, які після відкриття можуть призвести до:
- Викрадення облікових даних (логінів та паролів).
- Встановлення шкідливого програмного забезпечення (наприклад, шпигунського ПЗ або програм-вимагачів).
- Отримання віддаленого доступу до скомпрометованих систем.
Використання ідентичності CERT-UA є особливо небезпечним, оскільки ця установа є ключовим гравцем у системі національної кібербезпеки, і її повідомлення зазвичай сприймаються як термінові та достовірні.
Згідно з повідомленнями, основними цілями цієї фішингової кампанії були:
- Державні установи: Органи центральної та місцевої влади, міністерства, відомства.
- Бізнес-структури: Приватні компанії, особливо ті, що працюють у критично важливих галузях або мають доступ до чутливої інформації.
- Інші інституції: Неурядові організації, освітні заклади та інші суб'єкти, що можуть бути цікаві зловмисникам для збору інформації або подальших атак.
Компрометація цих організацій може призвести до витоку конфіденційних даних, порушення роботи критичної інфраструктури, фінансових втрат та підриву національної безпеки.
Для мінімізації ризиків та захисту від подібних атак Cyber Index UA рекомендує:
- Ретельна перевірка відправника: Завжди перевіряйте повну адресу електронної пошти відправника, а не лише відображуване ім'я. Звертайте увагу на будь-які невідповідності або підозрілі домени.
- Підтвердження через офіційні канали: У разі отримання підозрілих листів, особливо від імені CERT-UA або інших державних структур, зверніться до них за офіційними каналами зв'язку (телефон, офіційний сайт), щоб підтвердити автентичність повідомлення.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни та розпізнавання фішингових атак для всіх співробітників.
- Використання багатофакторної автентифікації (MFA): Запровадьте MFA для всіх корпоративних облікових записів.
- Технічні засоби захисту: Встановіть та регулярно оновлюйте антивірусне програмне забезпечення, використовуйте сучасні рішення для захисту електронної пошти (антиспам, антифішинг), налаштуйте DMARC, SPF, DKIM.
- Регулярне резервне копіювання: Забезпечте регулярне створення резервних копій важливих даних.
- Негайно повідомляйте: Про будь-які підозрілі інциденти негайно інформуйте свою службу безпеки або CERT-UA.