Розсилка шкідливого програмного забезпечення з підроблених поштових адрес Міністерства доходів і зборів України

28/03/2014

Шановні колеги!

Фахівцями CERT-UA, починаючи з 29.01.2014 і до цього часу, вживаються заходи щодо вивчення і моніторингу випадків масового ураження шкідливим програмним забезпеченням засобів обчислювальної техніки громадян України, що здійснюється шляхом розповсюдження, начебто від Міністерства доходів і зборів України, електронних листів з додатками у вигляді файлів формату «.doc», «.rar», «.zip» та інших. Файли, що надсилаються у додатку, містять експлойти для програмного забезпечення Microsoft Office. Після відкриття зазначених файлів (у разі не оновленості вищезазначеного програмного забезпечення) відбувається ураження засобів обчислювальної техніки шкідливим програмним забезпеченням, функціонал якого дозволяє, як отримувати несанкціонований віддалений доступ до засобу обчислювальної техніки і слідкувати за ним, так і використовувати його для здійснення мережевих атак. Є підстави вважати, що всі уражені засоби обчислювальної техніки належать до бот-мережі.

Фахівцями CERT-UA, спільно з представниками іноземних профільних організації та міжнародної ІБ-спільноти, вжито заходів з блокування доменних імен та NS-серверів, що забезпечували функціонування вищезазначеної бот-мережі.

Разом з тим, 27.03.2014 зафіксовано нову хвилю розсилань електронних листів зі шкідливим програмним забезпечення у додатках. По результатам проведеного аналізу можемо констатувати зміну доменних імен та NS-серверів, що використовуються вищезазначеною бот-мережею.

У цьому зв’язку та з метою протидії зазначеній кіберзагрозі, усіх отримувачів таких листів просимо ТЕРМІНОВО вжити заходів щодо:

1. Блокування доступу до доменних імен, які наразі використовуються для функціонування бот-мережі:

nof.su

ohi.su

ohy.su

tknsk.su

2. Повторно інформувати стосовно існуючої загрози структурні підрозділи та територіальні органи.

3. Наголосити на необхідності безперервного надання до CERT-UA (cert@cert.gov.ua) зразків шкідливого програмного забезпечення (додатків до електронних листів). Для надсилання зразків шкідливого програмного забезпечення їх необхідно окремо зберігати в архіві з паролем. Вибір паролю залишається на Ваш розсуд, адже відомі паролі, такі як «infected», «virus» та інші можуть розпізнаватися поштовими системами в результаті чого потенційно шкідливий файл, що міститься в архіві, буде видалено.

4. Так як зазначена загроза є дуже масштабною, з метою ефективного інформування громадськості, CERT-UA просить вжити всіх можливих заходів щодо оприлюднення інформації про цей інцидент на офіційних веб-сайтах органів державної влади.

5. По результатам вжитих заходів, а також у разі необхідності отримання додаткової інформації просимо зв’язуватися по контактним даним.

Ще раз наголошуємо, що об’єктами (жертвами) масового ураження є не лише державні органи чи установи, а й громадяни України.