СБУ попереджає про можливу масштабну кібератаку РФ на держструктури і приватні компанії України напередодні фіналу ЛЧ

Служба безпеки України попереджає про можливу масштабну кібератаку на українські державні структури і приватні компанії напередодні фіналу Ліги чемпіонів УЄФА і дає рекомендації щодо захисту від неї.

"Фахівці з кібербезпеки СБУ вивчають чергову можливу хвилю масового ураження розміщених в Україні мережевих пристроїв. Шкідливе програмне забезпечення, яке може бути використано хакерами, отримало умовну назву VPNFilter", - повідомляє в середу вдень прес-центр СБ України.

VPNFilter - багаторівневе модульне шкідливе програмне забезпечення з універсальними можливостями, що забезпечують проведення як кіберрозвідки, так і деструктивних кібероперацій.

У спецслужбі зазначають, що такі атаки фіксувалися по всьому світу, починаючи з 2016 року. Однак, за отриманою інформацією, на цей раз географічна націленість атаки спрямована саме на український сегмент мережі Інтернет.

"Висновки криміналістичного дослідження показують, що вірусне програмне забезпечення VPNFilter надає зловмисникам можливості перехоплювати весь трафік, що проходить через уражений пристрій (зокрема й дані авторизації і персональні дані платіжних систем), збирати і вивантажувати інформацію, дистанційно керувати інфікованим пристроєм і навіть виводити його з ладу", - попереджають у СБУ.

Особливу небезпеку VPNFilter становить для автоматизованих систем управління технологічними процесами (SCADA), оскільки через ідентифікацію специфічних протоколів обміну технологічними даними зловмисники отримують можливість обрати такі об'єкти першочерговими цілями. Виявлені ознаки свідчать про приготування кібердіверсій на об'єктах національної критичної інфраструктури.

"Фахівці СБУ вважають, що інфікування обладнання саме на території України - підготовка до чергового акту кіберагресіі з боку РФ, спрямованої на дестабілізацію ситуації під час проведення фіналу Ліги чемпіонів. Про це свідчить і те, що запланований механізм кібератаки збігається з техніками, які використовувалися в 2015-2016 роках під час кібератаки BlackEnergy", - інформують у прес-центрі спецслужби.

Об'єднані можливості з криміналістичного аналізу загроз, які є в розпорядженні Ситуаційного центру забезпечення кібербезпеки СБУ, і наявні міжнародні канали Національного контактного пункту Цілодобова мережа "24/7" Національної поліції України вже задіяні для нейтралізації прихованої мережевої інфраструктури зловмисників.

"Але наголошуємо, що без ліквідації власниками вразливостей кінцевого обладнання неможливо запобігти новим хвилям таких кібератак", - йдеться в повідомленні.

З огляду на можливі ризики, СБУ і Нацполіція невідкладно та адресно поінформували потенційних "жертв" атаки. На виконання вимог закону України "Про основні засади забезпечення кібербезпеки" СБУ, зокрема, поінформувала відповідні об'єкти критичної інфраструктури і органи державної влади (зокрема із використанням платформи MISP-UA). У свою чергу поліція спрямувала зусилля на допомогу суб'єктам вітчизняного бізнесу і громадянам.

"Зараз фахівцям відомо про вразливість наступних мережевих пристроїв: Linksys Devices: E1200, E2500, WRVS4400N; Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072; Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000; QNAP Devices : TS251, TS439 Pro, Other QNAP NAS devices running QTS software; TP-Link Devices R600VPN ", - інформують в СБУ.

Водночас, з огляду на значну поширеність цього обладнання на території України і об'єктивну неможливість адресного інформування всіх користувачів, СБ України надала стислі рекомендації щодо захисту від кібератаки, розроблені спільно з представниками провідних міжнародних компаній у сфері кібербезпеки.

"Користувачам і власникам домашніх роутерів, бездротових маршрутизаторів малих офісів і мережевих файлових сховищ необхідно невідкладно здійснити їх перезавантаження для видалення потенційно небезпечних хімічних програмних модулів з пам'яті пристроїв; у разі, коли мережеві маршрутизатори клієнтів контролюються провайдерами Інтернет-послуг, здійснити їх віддалене перезавантаження; якщо є підстави вважати будь-який пристрій в локальній мережі ураженим зазначеним видом шкідливого програмного забезпечення, то невідкладно оновити його програмну прошивку до останньої актуальної версії; - у разі, коли в операційній системі мережевого пристрою є функція доступу до каталогу файлів, перевірити наявність файлів у директорії "/ var / run / vpnfilterw", "var / run / tor" , "var / run / torrc", "var / run / tord" і видалити їхній вміст", - йдеться в повідомленні.