Угруповання Ghostwriter, яке, за даними розвідки, пов'язане з Білоруссю та активно діє щонайменше з 2016 року, здійснило нову серію атак на державні організації України. Це угруповання відоме своїми операціями з кібершпигунства та впливу, спрямованими переважно проти сусідніх країн, зокрема України. Ghostwriter також відстежується під різними іншими назвами, такими як FrostyNeighbor, PUSHCHA, Storm-0257, TA445 та UAC‑0057.
Остання кампанія характеризується використанням цільового фішингу через PDF-документи, що містять механізми геолокаційного контролю, та подальшим розгортанням шкідливого програмного забезпечення Cobalt Strike. Метою цих операцій є компрометація урядових систем для збору розвідувальної інформації.
Ключовою особливістю поточної кампанії є застосування фішингу з геолокацією. Це означає, що шкідливий PDF-документ активує свою зловмисну функціональність лише в тому випадку, якщо його відкрито з певних географічних локацій, що значно ускладнює виявлення та аналіз за межами цільового регіону.
Після успішної компрометації системи, зловмисники розгортають Cobalt Strike — потужний інструмент для тестування на проникнення, який, на жаль, часто використовується кіберзлочинцями та державними хакерськими угрупованнями як платформа для пост-експлуатації. Cobalt Strike дозволяє зловмисникам встановлювати стійкий контроль над скомпрометованою системою, здійснювати латеральне переміщення по мережі, збирати дані та виконувати інші шкідливі дії, залишаючись при цьому максимально непомітними.
Основною мішенню угруповання Ghostwriter є державні організації України. Це включає міністерства, відомства, державні підприємства та інші установи, що працюють з конфіденційною інформацією або мають стратегічне значення.
Однак, загроза може поширюватися і на інші суб'єкти:
- Організації, що співпрацюють з державним сектором: Постачальники послуг, підрядники та партнери можуть стати проміжною ланкою для доступу до основних цілей.
- Критична інфраструктура: Хоча прямо не згадано, операції кібершпигунства часто передують або супроводжують атаки на критичну інфраструктуру.
- Будь-яка організація з вразливим персоналом: Співробітники, які не пройшли належного навчання з кібергігієни, можуть стати точкою входу для зловмисників через фішинг.
Для мінімізації ризиків від подібних атак Cyber Index UA рекомендує:
- Постійне навчання персоналу: Проводьте регулярні тренінги з кібербезпеки, акцентуючи увагу на розпізнаванні фішингових листів, особливо тих, що містять вкладення у форматі PDF. Навчіть співробітників перевіряти джерело та зміст підозрілих повідомлень.
- Впровадження багаторівневої автентифікації (MFA): Застосовуйте MFA для всіх облікових записів, особливо для доступу до критичних систем та віддаленого доступу.
- Регулярне оновлення програмного забезпечення: Забезпечте своєчасне встановлення оновлень безпеки для операційних систем, офісних програм та всіх інших застосунків, щоб закрити відомі вразливості.
- Використання сучасних рішень безпеки: Встановіть та налаштуйте антивірусне програмне забезпечення, системи виявлення та реагування на кінцевих точках (EDR), а також міжмережеві екрани (firewalls).
- Моніторинг мережевого трафіку: Відстежуйте незвичайну активність у мережі, звертаючи увагу на спроби встановлення з'єднань з невідомими IP-адресами або доменними іменами, які можуть вказувати на C2-сервери Cobalt Strike.
- Планування реагування на інциденти: Розробіть та регулярно тестуйте план реагування на кіберінциденти, щоб швидко та ефективно протидіяти атакам.
- Співпраця з CERT-UA: Повідомляйте про всі підозрілі інциденти та виявлені загрози до Урядової команди реагування на комп'ютерні надзвичайні події України (CERT-UA).