Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA у взаємодії з Центром кібербезпеки ЗСУ виявила та дослідила ворожу активність угрупування UAC-0020 (Vermin) проти Сил оборони України.
Хакери використали легітимну програму SyncThing разом з вірусом SPECTR, повідомляє Державна служба спеціального зв’язку та захисту інформації України.
Для кібератаки використовували шкідливе програмне забезпечення SPECTR для викрадення документів, файлів, паролів та іншої інформації. Також використовувався штатний функціонал синхронізації легітимного програмного забезпечення SyncThing.
Хакери надсилали електронний лист з вкладенням у вигляді архіву “туррель.фоп.вовчок.rar”, захищеного паролем. Архів містив файл-приманку “Wowchok.pdf”; ЕХЕ-інсталятор “sync.exe” та BAT-файл “run_user.bat”. Файл “sync.exe” містив як легітимні компоненти програми SyncThing, так і файли шкідливих програм Spectr, в тому числі допоміжні бібліотеки та скрипти.
“Викрадена за допомогою шкідливих програм інформація виводилася на комп’ютер зловмисника за допомогою штатного функціонала синхронізації легітимної програми SyncThing. Активність цього угруповання відстежується CERT-UA за ідентифікатором UAC-0020”, — йдеться у повідомленні.
У Держспецзв’язку зазначили, що група UAC-0020 (Vermin), пов’язана із силовими відомствами окупованого Луганська.
CERT-UA радить відповідальним за кіберзахист інформаційно-комунікаційних систем ЗСУ невідкладно звернутися до Центру кібербезпеки ЗСУ з метою отримання та подальшого встановлення на всі без винятку комп’ютери відповідних технологій захисту.