Загальна інформація
Урядовою командою реагування на комп'ютерні надзвичайні події України CERT-UA у І кварталі 2024 року розкрито зловмисний задум щодо проведення деструктивних кібератак щодо інформаційно-комунікаційних систем (ІКС) майже двадцяти підприємств галузі енергетики, водо- та теплопостачання (ОКІ) у десяти регіонах України. Для відстежування згаданої активності було створено окремий кластер загроз UAC-0133, який з високим рівнем впевненості мав відношення до UAC-0002 (Sandworm, APT44, Seashell Blizzard).
Разом з тим, починаючи з другої половини 2024 року було відмічено застосування нових тактик, технік та процедур, що, серед іншого, передбачали відправку жертві PDF-документа з посиланням, відвідування якого, у поєднанні з експлуатацією вразливості CVE-2024-38213, призводило до завантаження на комп'ютер LNK-файлу (розширення "pdf.lnk"), запуск якого призводив до виконання PowerShell-команди, що забезпечувала завантаження та відображення документу-приманки, а також завантаження, забезпечення персистентності (гілка "Run") та запуск EXE/DLL файлів.
Відомо, що як програмні засоби реалізації кіберазгрози, серед іншого, використовувалися такі: SECONDBEST / EMPIREPAST, SPARK, CROOKBAG (лоадер на GoLang). Водночас у декількох випадках зловмисниками, з метою довготривалого викрадення документів, також було застосовано RSYNC.
Виходячи з результатів дослідження низки пов'язаних кампаній, що мали місце у період з липня 2024 року по лютий 2025 року, угрупуванням здійснено цільові атаки стосовно підприємств-постачальників з Сербії, Чехії, України (зауважимо, що географія об'єктів атаки набагато ширша). Разом з цим лише протягом серпня 2024 року в фокусі перебувало не менше дванадцяти логістичних підприємств України, що спеціалізуються на вантажоперевезеннях автомобільним, повітряним та морським транспортом (у тому числі небезпечних та швидкопсувних вантажів). За цих обставин з початку січня 2025 року по 20 лютого 2025 року проведено кібератаки стосовно чотирьох українських підприємств, які спеціалізуються на проектуванні та виробництві техніки для сушіння, транспортування та зберігання зерна (у т.ч., будівництві елеваторів), а також не менше ніж двадцяти п'яти українських підприємств, що займаються розробкою автоматизованих систем управління технологічними процесами (АСУТП) та пов'язаними елктромонтажними роботами. Поверхневий аналіз портфоліо та тендерної документації дозволяє зробити висновок про те, що тільки компанії-постачальники рішень АСУТП надають послуги сотням українських підприємств, які забезпечують життєвоважливі функції, такі як енергозабезпечення (у тому числі постачання теплової енергії), водопостачання та водовідведення.
На етапі первинної компрометації зловмисники, під виглядом потенційного замовника, протягом декількох діб здійснюють листування з потенційної жертвою, підводячи її до необхідності ознайомлення з "технічною документацією" у вигляді PDF-документа зі спотвореним змістом.
Виявлення цієї активності (що відстежується за ідентифікатором UAC-0212, який є субкластером UAC-0002) свідчить про чіткі наміри щодо проникнення до комп'ютерних мереж постачальників послуг з метою подальшого використання отриманих даних для компрометації ІКС підприємств критичних галузей промисловості та життєзабезпечення.
У цій статті наведено відповідні індикатори кіберзагрози, а також приклади ланцюга ураження. У випадку, якщо опублікована інформація щодо кібератак виглядає "знайомою", ми просимо представників компаній-постачальників невідкладно вийти на зв'язок з CERT-UA для ініціації вжиття заходів з комп'ютерно-технічного дослідження та, за потреби, реагування на інцидент.
Попереджаємо, що ідентифікація і "перевірка антивірусом" (або "перевстановлення операційної системи") лише ураженого комп'ютера не вирішить проблеми, адже після первинної компрометації вже після декількох годин зловмисники здійснюють горизонатльне переміщення мережею з послідуючим закріпленням на серверному, активному мережевому обладанні, або автоматизованих робочих місцях користувачів.
Для спрощення атрибуції та моделювання даних ми наводимо індикатори кіберзагроз низки епізодів, що мали місце у 2024 році, а також посилання на публікації стосовно описаної активності компаній Microsoft [1] та Strike Ready [2].
Індикатори кіберзагроз (див. тут).
Графічні зображення
Рис.1 Приклад ланцюга ураження
Рис.2 Приклад запуску RSYNC на ЕОМ керівника одного з підприємств-розробників рішень для АСУТП