Der Staatliche Dienst für Sonderkommunikation und Informationsschutz hat vor neuen Cyberangriffen gewarnt
Das ist eine maschinelle Übersetzung eines Artikels aus der Onlinezeitung Korrespondent.net. Die Übersetzung wurde weder überprüft, noch redaktionell bearbeitet und die Schreibung von Namen und geographischen Bezeichnungen entspricht nicht den sonst bei Ukraine-Nachrichten verwendeten Konventionen.
Das ukrainische CERT-UA Emergency Response Team, das innerhalb des Staatlichen Dienstes für Sonderkommunikation und Informationsschutz tätig ist, hat vor versuchten Cyberangriffen auf ukrainische Organisationen und Einrichtungen gewarnt, die das legitime Programm Remote Utilities nutzen. Dies berichtete das Zentrum für strategische Kommunikation und Informationssicherheit am Samstag, den 29. Januar.
„Die massiven Cyberangriffe, die am 13. und 14. Januar stattfanden, dauern an“, teilte das Zentrum in einer Telegrammbotschaft mit.
Demnach läuft seit Freitag ein Mailing mit Gerichtsanfragen. Obwohl die Mails von offiziellen Adressen der Justiz stammen, sind die Anfragen gefälscht und die Links in der E-Mail mit Schadsoftware versehen.
„Das Problem wird durch die Tatsache verschärft, dass die Mails von den echten Mailservern der Justiz stammen. So passieren die E-Mails Spamfilter und sind vertrauenswürdig. Es ist möglich, dass nur einzelne Gerichtsadressen kompromittiert sind, obwohl nicht ausgeschlossen werden sollte, dass der gesamte Mailserver kompromittiert wurde“, heißt es in dem Bericht.
Da die Rolle der E-Mail als offizielles Kommunikationsmittel in Gerichtsverfahren in der Ukraine gesetzlich gestärkt wurde, wird sich nach Ansicht der Agentur „ein solcher Angriffsvektor in Zukunft weiter entwickeln.
Es wird auch festgestellt, dass die E-Mails einen Link zu passwortgeschützten RAR- und/oder ZIP-Archiven (z. B. Trial Request #997836477463567677822.rar_pass_123.zip) enthalten, die auf den öffentlichen Diensten Google Drive und DropMeFiles abgelegt sind.
Wenn der Empfänger ein solches Archiv herunterlädt und entpackt, werden Remote Utilities auf seinem Computer installiert. Dies ermöglicht dem Empfänger einen geheimen Fernzugriff auf das Gerät durch Dritte. Die Fähigkeit des Programms, die Aktivitäten nach einem Neustart des Computers zu aktualisieren, wird durch die Erstellung des RManService gewährleistet.
„Solche Cyberangriffe sind eine systematische Aktivität, die sich gegen ukrainische Regierungsbehörden (aber nicht nur) richtet und von CERT-UA unter der Kennung UAC-0096 verfolgt wird“, so der Dienst.
Um die Malware zu entfernen, empfiehlt der Staatssicherheitsdienst, den RManService zu stoppen, das Verzeichnis %PROGRAMFILES%\Remote Utilities – Host\ zu löschen, den Registrierungsschlüssel HKLM\SOFTWARE\Usoris…