💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉
Наталя ХандусенкоГаряченьке
3 січня 2024, 10:12
2024-01-03
Хакерське угрупування UAC-0006 атакує українські підприємства, здебільшого орієнтуються на бухгалтерів. Як відбувається процес ураження
Кібергрупа UAC-0006 посідає перше місце в категорії фінансових злочинів, здійснюючи (спроби) викрадення грошових коштів з рахунків українських підприємств за допомогою шкідливих програм у розмірах від одного мільйону гривень на тиждень. Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA розповіла про різновиди спеціалізованих програм, за допомогою яких хакери отримають несанкціонований доступ та подальше приховане управління інфікованим комп’ютером, а також навели приклад ланцюга ураження.
«На жаль, поточний стан кібербезпеки підприємств, установ і організацій, попри численні публікації та інформування щодо кіберзагроз, допускає надзвичайно низький рівень захищеності автоматизованих робочих місць бухгалтерів, на яких, фактично, здійснюється управління фінансами організацій на мільйони та мільярди гривень. Незахищеність таких комп’ютерів може бути прямим свідченням недбалості керівників організацій та фахівців відповідних напрямів, що, своєю чергою та з вини останніх, неодмінно призводить до значних матеріальних збитків», — повідомляють CERT-UA.
За наявною технічною інформацією отримання несанкціонованого доступу та подальше приховане управління інфікованим комп’ютером здійснюється із застосуванням, щонайменше, 13 різновидів спеціалізованих програм, зокрема:
SMOKELOADER
LOADERX3
RMS
RDPWRAPPER
DANABOT
LUMMASTEALER
REDLINESTEALER
SYSTEMBC
TALESHOT
PIEJET
LOADNEST
HANGTHREAD
BACKSTAB
AUKILL
Як працює схема хакерів
Загалом, після первинного ураження ЕОМ і доставки SMOKELOADER, останній використовується для завантаження і запуску на ЕОМ інших програм та модулів. Попри точковість розсилок (здебільшого, вони вже орієнтовані на бухгалтерів), виявлення «бухгалтерських» ЕОМ, зокрема, здійснюється за допомогою TALESHOT шляхом аналізу назв вікон та процесів програм, що функціонують на комп’ютері (список нижче), та регулярної відправки скріншотів зловмисникам для спостереження і прийняття рішення.
iBank2 ua
iFOBS
CABiNET
Інтернет банкінг
Ощадбанк
БАНК
Piraeus
Інтернет-банкінг
Sense Bank
Онлайн Банкінг
iSign Desktop
A24
Банк Кредит Дніпро
Приват24 для бізнесу
bank
CorpLight
Sense
Укргазбанк
click
ifobsclient.exe
clibankonlineua.exe
У випадку, якщо ЕОМ є цікавою для зловмисників (за назвою фінансової установи, розміром залишків на рахунках тощо) на ЕОМ довантажується збірка RMS + LOADERX3 + RDPWRAPPER, що надає можливість зловмиснику в інтерактивному прихованому режимі віддаленого робочому столу (паралельно з легітимним користувачем) проаналізувати детально потенційну жертву. Одночасна кількість таких «перспективних» комп’ютерів, за якими ведеться спостереження, складає декілька десятків ЕОМ.
Після прийняття рішення щодо можливості викрадення грошових коштів здійснюється підготовка ланцюга для виведення коштів (визначення підставних проміжних фірм, «дропів» тощо). В залежності від обставин оператор може або самостійно формувати несанкціонований платіж, або змінювати реквізити у вже підготовленому та відправленому на підпис директору документі.
Після відправки платіжки в банк з метою маскування/вигравання часу ЕОМ може бути виведено з ладу шляхом запуску спеціалізованих програм, зокрема, HANGTHREAD, що, фактично, здійснить DoS (відмову в обслуговування), тобто вичерпає обчислювальну потужність та призведе до постійного «зависання» комп’ютера.
Частина угрупування, відповідальна за отримання викрадених грошових коштів, може вдаватися до комунікації зі співробітниками банку, надаючи підроблену інформацію, в т. ч., документи, які, начебто, засвідчують легітимність платежів.
Чому бухгалтери
Робоче місце бухгалтера, за визначенням, передбачає обробку великої кількості вхідних електронних листів, в т. ч., отриманих в обхід можливого периметру захисту на електронні адреси сторонніх сервісів. Крім того, з такого комп’ютера здійснюється взаємодія з різноманітними інформаційними системами, що, в сукупності, потребує наявності доступу до мережі Інтернет.
«Задля зменшення вірогідності реалізації кіберзагрози ЕОМ бухгалтерів потребують вжиття окремих технічних заходів, в першу чергу, обмеження можливості запуску виконуваних файлів та скриптів (бажано, за принципом „білого“ списку) з використанням штатних технологій операційних систем Windows, таких як SRP або AppLocker. Прикро, але трапляються випадки коли на ЕОМ з мільйонними платіжками немає навіть засобу захисту від шкідливих програм („антивірусу“)», — зазначає CERT-UA.