Киберпреступники пытались шпионить за компьютерами органов власти от имени «Укртелекома»

Киберзлоумышленники пытались шпионить за компьютерами органов государственной власти Украины вроде бы от имени «Укртелекома».

Об этом сообщает Госспецсвязь.

«Правительственная команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) зафиксировала массовое распространение электронных писем вроде бы от имени АО «Укртелеком». Целью такой рассылки, направленной преимущественно на органы государственной власти, вероятно, является шпионаж», — говорится в сообщении.

Отмечается, что в письме с темой «Судебная претензия по Вашему лицевому счету # 7192206443063763 от: 06.02.2023» и приложением в виде RAR-архива «судебное письмо, информация по задолженности. rar» содержится текстовый документ «Ваш персональный код доступа −254507.txt» и RAR-архив «судебное письмо, информация по задолженности. PDF. rar», защищенный паролем. Во втором архиве размещен файл «судебное письмо, информация по задолженности. PDF. exe», что весит более 600 МБ.

Сообщается, что запуск этого EXE-файла приведет к установке на компьютере жертвы программы для удаленного контроля и наблюдения Remcos. Отмечается, что эта программа от компании BreakingSecurity является легитимным инструментом удаленного администрирования, а ее вариант «Professional» продается на сайте производителя по цене от 58 евро.

По данным Госспецсвязи, выявленная активность отслеживается по идентификатору UAC-0050 по меньшей мере с 2020 года. Предыдущие атаки группы производились с применением программы для удаленного администрирования RemoteUtilities.

«Специалисты CERT-UA, исходя из функционала программ и из того, что объектами кибератак обычно (но не исключительно) являются органы государственной власти Украины, считают, что такая активность осуществляется с целью шпионажа», — говорится в сообщении.

Напомним, российские хакеры совершили кибератаки на десятки больниц в Нидерландах. За атакой стоит группа Killnet, сотрудничающая с другими хакерами.