АЛМАТЫ, 4 мая — Sputnik. Служба реагирования на компьютерные инциденты KZ-CERT АО "ГТС" отразила кибератаку на сайты казахстанских госорганов. Она была замаскирована под рассылку от имени АО "First Heartland Jýsan Bank".
В KZ-CERT говорят, что хакеры нередко делают рассылку с помощью подмены адреса отправителя (email-spoofing). При этом для максимального охвата рассылку отправляют от имени популярных брендов.
"В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги и якобы техническая спецификация приложена файлом", - рассказали в KZ-CERT.
После проверки файла специалисты установили, что он относится к вредоносному программному обеспечению типа LOKIBOT. При запуске этого процесса на сервер злоумышленника направляется различная информация, полученная с компьютера пользователя. Зачастую это персональные данные и служебная конфиденциальная информация, в том числе и сохраненные пароли.
Как не попасть на уловки псевдосотрудника банка
Вредоносную рассылку в отношении государственных органов специалисты службы обнаружили с помощью единого шлюза электронной почты "электронного правительства" (ЕШЭП), находящегося на стороне АО "ГТС".
Спам-рассылки и письма с вредоносными вложениями помещены в карантин и до целевых получателей не доставлены.
"Для устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности", - добавили в KZ-CERT.
В ЕНПФ предупредили об атаках интернет-мошенников
Как проверить, попала ли вредоносная рассылка в сеть организации
- Проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути "C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe".
- Проверить наличие соединений с сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24).
- Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.
Опасную спам-рассылку стали направлять на почты казахстанцев
Если вы стали жертвой инцидента информационной безопасности, можно позвонить по бесплатному номеру 1400 (круглосуточно) или отправить заявку в Telegram-чат: https://t.me/kzcert.
Напомним, это не первая подобная атака на подведомственные сайты. В сентябре 2020-го был совершен ряд DDoS-атак на образовательные платформы kundelik.kz и bilimland.kz. Хакеры пытались нарушить работу порталов в период дистанционного обучения.
Хакерских атак стало больше
Количество хакерских атак в Казахстане выросло почти вдвое за год. Такие данные приводила Служба реагирования на компьютерные инциденты по итогам 2020 года.
"По сравнению с аналогичным периодом 2019 года количество фишинговых атак возросло на 83%, а количество зафиксированных вредоносных ПО (программное обеспечение) увеличилось на 93%. Если в ноябре 2019 года количество фишинговых атак составляло 19, в 2020 году данная цифра увеличилась до 115, что касается вредоносных ПО, то тут было зафиксировано 145 в 2020 году, а в 2019-м - всего лишь 10 инцидентов", - сообщили в техслужбе.