У новому звіті, опублікованому командою реагування на комп'ютерні надзвичайні події України (CERT-UA), йдеться про зростання активності російських хакерів. Вони систематично повертаються до раніше скомпрометованих систем та мереж, які вже були об'єктами їхніх атак. Ця діяльність свідчить про підготовчий етап до нових, потенційно більш руйнівних операцій проти українських цілей.
Згідно з аналізом CERT-UA, процес «повторного візиту» включає кілька ключових кроків:
- Перевірка доступу: Атакуючі перевіряють, чи зберігається у них доступ до раніше скомпрометованої інфраструктури. Це може бути через бекдори, віддалений доступ або інші механізми.
- Оцінка вразливостей: Хакери аналізують, чи були виправлені раніше експлуатовані вразливості. Якщо ні, це дозволяє їм повторно використовувати відомі вектори атак.
- Валідність облікових даних: Перевіряється актуальність та дійсність раніше отриманих облікових даних (логінів, паролів, ключів). Якщо вони все ще активні, це значно спрощує проникнення.
Ці дії вказують на цілеспрямовану стратегію збору інформації та відновлення плацдармів для майбутніх кібершпигунських або деструктивних операцій.
Ця загроза є актуальною для широкого кола українських організацій, зокрема:
- Державні установи: Органи влади, місцевого самоврядування, які часто є основними цілями російських кібератак.
- Об'єкти критичної інфраструктури: Енергетика, телекомунікації, водопостачання, транспорт – сектори, де деструктивні атаки можуть мати катастрофічні наслідки.
- Приватний сектор: Компанії, що працюють у сфері IT, фінансів, оборони, а також ті, що мають стратегічне значення або зберігають чутливі дані.
- Будь-які організації, які раніше зазнавали кібератак: Особливо ті, що могли не повністю усунути наслідки попередніх інцидентів.
CERT-UA та експерти з кібербезпеки наголошують на необхідності негайних дій:
- Ретельний аудит безпеки: Проведіть повний аудит усіх систем та мереж, які раніше були скомпрометовані.
- Патчі та оновлення: Негайно встановіть усі доступні оновлення безпеки для програмного забезпечення та операційних систем, особливо для тих вразливостей, що були експлуатовані раніше.
- Зміна облікових даних: Змініть усі скомпрометовані або потенційно скомпрометовані облікові дані, включаючи паролі адміністраторів та сервісних облікових записів.
- Багатофакторна автентифікація (MFA): Запровадьте або посильте використання MFA для всіх критично важливих систем та облікових записів.
- Моніторинг мережі: Посильте моніторинг мережевого трафіку та системних журналів для виявлення підозрілої активності.
- План реагування на інциденти: Перегляньте та оновіть свій план реагування на кіберінциденти, забезпечивши готовність до швидкої та ефективної відповіді на нові загрози.