СБУ попереджає про можливу масштабну кібератаку до фіналу Ліги чемпіонів

Служба безпеки України попереджає про можливу масштабну кібератаку на державні структури та приватні компанії напередодні фіналу Ліги чемпіонів.

Рекомендації щодо захисту від неї оприлюднив прес-центр СБУ.

«Фахівці з кібербезпеки СБУ вивчають чергову можливу хвилю масового ураження розміщених в Україні мережевих пристроїв. Шкідливе програмне забезпечення, яке може бути використано хакерами, отримало умовну назву VPNFilter (VPNFilter - багаторівневе модульне шкідливе програмне забезпечення з універсальними можливостями, які забезпечують проведення як кіберрозвідки та і деструктивних кібероперацій)», - йдеться у повідомленні.

Як зазначається, подібні атаки фіксувались по всьому світу починаючи з 2016 року, проте, за наявною інформацією, цього разу географічно атака спрямована саме на український сегмент інтернету.

За даними спецслужби, висновки криміналістичного дослідження засвідчують, що вірусне програмне забезпечення VPNFilter дозволяє зловмисникам перехоплювати весь трафік, що проходить через уражений пристрій (включаючи дані авторизації та персональні дані платіжних систем), збирати та вивантажувати інформацію, віддалено керувати інфікованим пристроєм та навіть виводити його з ладу.

Читайте також: СБУ назвала фейком підготовку "терактів ІДІЛ" під час фіналу Ліги чемпіонів

"Особливу небезпеку VPNFilter становить для автоматизованих систем управління технологічними процесами (SCADA), оскільки через ідентифікацію специфічних протоколів обміну технологічними даними зловмисники отримують можливість обрати такі об'єкти першочерговими цілями. Виявлені ознаки свідчать про готування кібердиверсій на об'єктах національної критичної інфраструктури, що викликає особливе занепокоєння", - заявили в СБУ.

Фахівці Служби безпеки вважають, що інфікування обладнання саме на території України є підготовкою до чергового акту кіберагресії з боку РФ, спрямованого на дестабілізацію ситуації під час проведення фіналу Ліги чемпіонів. Про це свідчить й те, що запланований механізм кібератаки збігається з техніками, які використовувались у 2015-2016 роках в ході кібератаки BlackEnergy.

Об'єднані можливості з криміналістичного аналізу загроз, які є у розпорядженні Ситуаційного центру забезпечення кібербезпеки СБУ, та наявні міжнародні канали Національного контактного пункту цілодобової мережі «24/7» Національної поліції України вже задіяні для нейтралізації прихованої мережевої інфраструктури зловмисників. "Але підкреслюємо, що без ліквідації власниками вразливостей кінцевого обладнання неможливо запобігти новим хвилям подібних кібератак", - звертають увагу в СБУ.

Ззаначається, що з огляду на можливі ризики СБУ та Нацполіція адресно поінформували потенційні «жертви» атаки, серед яких, зокрема, об'єкти критичної інфраструктури та органи державної влади (у тому числі з використанням платформи MISP-UA). 

Наразі фахівцям відомо про уразливість наступних мережевих пристроїв:

Linksys Devices: E1200, E2500, WRVS4400N;

Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072;

Netgear Devices: DGN2200, R6400,        R7000, R8000, WNR1000, WNR2000;

QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;

TP-Link Devices R600VPN.

Враховуючи значну поширеність цього обладнання на території України та об'єктивну неможливість адресного інформування всіх користувачів, СБУ надає рекомендації із захисту від кібератаки, розроблені спільно з представниками провідних міжнародних компаній у цій сфері.

Зокрема, користувачам та власникам домашніх роутерів, бездротових маршрутизаторів малих офісів та мережевих файлових сховищ необхідно невідкладно здійснити їх перезавантаження з метою видалення потенційно небезпечних шкідливих програмних модулів з оперативної пам'яті пристроїв. 

Читайте також: До Києва на Лігу чемпіонів прибули рятувальники з 9 областей

У разі, коли мережеві маршрутизатори клієнтів контролюються провайдерами інтернет-послуг, необхідно здійснити їх віддалене перезавантаження.

Якщо є підстави вважати будь-який пристрій у локальній мережі ураженим цим видом шкідливого програмного забезпечення, то невідкладно оновити його програмну прошивку до останньої актуальної версії. 

У разі, коли в операційній системі мережевого пристрою є функція доступу до його файлової системи, необхідно перевірити наявність файлів у директоріях «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord» та видалити їх вміст, рекомендують фахівці.