04 January 2019, Mecklenburg-Western Pomerania, Schwerin: ILLUSTRATION - The html code for programming a web page can be seen on the monitor of a laptop. (posed photo). Photo: Jens Büttner/dpa-Zentralbild/ZB (Photo by Jens Büttner/picture alliance via Getty Images)
Правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA во взаимодействии с Центром кибербезопасности ВСУ обнаружила и исследовала враждебную активность группировки UAC-0020 (Vermin) против Сил обороны Украины.
Хакеры использовали легитимную программу SyncThing вместе с вирусом SPECTR, сообщает Государственная служба специальной связи и защиты информации Украины.
Для кибератаки использовали вредоносное программное обеспечение SPECTR для похищения документов, файлов, паролей и другой информации. Также использовался штатный функционал синхронизации легитимного программного обеспечения SyncThing.
Хакеры присылали электронное письмо с вложением в виде архива «туррель.фоп.вовчок.rar», защищенного паролем. Архив содержал файл-приманку «Wowchok.pdf»; ЕХЕ-инсталлятор «sync.exe» и BAT-файл «run_user.bat». Файл «sync.exe» содержал как легитимные компоненты программы SyncThing, так и файлы вредоносных программ Spectr, в том числе вспомогательные библиотеки и скрипты.
«Похищенная с помощью вредоносных программ информация выводилась на компьютер злоумышленника с помощью штатного функционала синхронизации легитимной программы SyncThing. Активность этой группировки отслеживается CERT-UA по идентификатору UAC-0020», — говорится в сообщении.
В Госспецсвязи отметили, что группа UAC-0020 (Vermin), связанная с силовыми ведомствами оккупированного Луганска.
CERT-UA советует ответственным за киберзащиту информационно-коммуникационных систем ВСУ безотлагательно обратиться в Центр кибербезопасности ВСУ с целью получения и последующей установки на все без исключения компьютеры соответствующих технологий защиты.