Кибератака на госорганы: хакеры через спам-рассылку пытались украсть служебную информацию

Спам-рассылки и письма с вредоносными вложениями помещены в карантин и до целевых получателей не доставлены
Подписывайтесь на Sputnik в Дзен

АЛМАТЫ, 4 мая — Sputnik. Служба реагирования на компьютерные инциденты KZ-CERT АО "ГТС" отразила кибератаку на сайты казахстанских госорганов. Она была замаскирована под рассылку от имени АО "First Heartland Jýsan Bank".

В KZ-CERT говорят, что хакеры нередко делают рассылку с помощью подмены адреса отправителя (email-spoofing). При этом для максимального охвата рассылку отправляют от имени популярных брендов.

"В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги и якобы техническая спецификация приложена файлом", - рассказали в KZ-CERT.

После проверки файла специалисты установили, что он относится к вредоносному программному обеспечению типа LOKIBOT. При запуске этого процесса на сервер злоумышленника направляется различная информация, полученная с компьютера пользователя. Зачастую это персональные данные и служебная конфиденциальная информация, в том числе и сохраненные пароли.

Как не попасть на уловки псевдосотрудника банка

Вредоносную рассылку в отношении государственных органов специалисты службы обнаружили с помощью единого шлюза электронной почты "электронного правительства" (ЕШЭП), находящегося на стороне АО "ГТС".

Спам-рассылки и письма с вредоносными вложениями помещены в карантин и до целевых получателей не доставлены.

"Для устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности", - добавили в KZ-CERT.

В ЕНПФ предупредили об атаках интернет-мошенников

Как проверить, попала ли вредоносная рассылка в сеть организации

  • Проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути "C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe".
  • Проверить наличие соединений с сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24).
  • Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.

Опасную спам-рассылку стали направлять на почты казахстанцев

Если вы стали жертвой инцидента информационной безопасности, можно позвонить по бесплатному номеру 1400 (круглосуточно) или отправить заявку в Telegram-чат: https://t.me/kzcert.

Напомним, это не первая подобная атака на подведомственные сайты. В сентябре 2020-го был совершен ряд DDoS-атак на образовательные платформы kundelik.kz и bilimland.kz. Хакеры пытались нарушить работу порталов в период дистанционного обучения.

Хакерских атак стало больше

Количество хакерских атак в Казахстане выросло почти вдвое за год. Такие данные приводила Служба реагирования на компьютерные инциденты по итогам 2020 года. 

"По сравнению с аналогичным периодом 2019 года количество фишинговых атак возросло на 83%, а количество зафиксированных вредоносных ПО (программное обеспечение) увеличилось на 93%. Если в ноябре 2019 года количество фишинговых атак составляло 19, в 2020 году данная цифра увеличилась до 115, что касается вредоносных ПО, то тут было зафиксировано 145 в 2020 году, а в 2019-м - всего лишь 10 инцидентов", - сообщили в техслужбе.