Загальна інформація
Починаючи з другої половини січня 2025 року Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA фіксується поновлення активності організованого злочинного угрупування UAC-0173, які на замовлення та за грошову винагороду проводять кібератаки для отримання прихованого віддаленого доступу до комп’ютерів нотаріусів з метою подальшого внесення несанкціонованих змін в державні реєстри.
Так, 11.02.2025 року здійснено чергову розсилку повідомлень електронної пошти, нібито, від імені одного з територіальних підрозділів Міністерства юстиції України, що містили посилання для завантаження виконуваного файлу (наприклад, “HAKA3.exe”, “Наказ Міністерства юстиції від 10.02.2025 № 43613.1-03.exe”, “До відома.exe”), запуск якого призведе до ураження комп’ютера шкідливою програмою DARKCRYSTALRAT (DCRAT).
Забезпечивши в такий спосіб первинний доступ до автоматизованого робочого місця нотаріуса, зловмисниками вживаються заходи зі встановлення додаткового інструментарію, зокрема, RDPWRAPPER, який реалізує функціонал паралельних RDP-сесій, що, у поєднанні із застосуванням утиліти BORE, дозволяє встановлювати RDP-підключення з мережі Інтернет безпосередньо до комп’ютера.
Серед іншого, відмічено використання програм для обходу механізму контролю облікових записів UAC (User Account Control), мережевого сканеру NMAP, проксі/сніферу FIDDLER (для перехоплення автентифікаційних даних, які вводяться у вебінтерфейсі державних реєстрів), стілеру XWORM (для викрадення логінів, паролів, в т.ч., з буферу обміну та під час їх введення за допомогою клавіатури).
В деяких випадках вже скомпрометовані комп’ютери використовуються для подальшого формування та відправки шкідливих електронних листів; для цього використовується консольна утиліта SENDEMAIL (Рис.2).
CERT-UA вжито невідкладних заходів кіберзахисту, в рамках чого, за сприяння Комісії з питань інформатизації, цифрової трансформації та запобігання кіберзлочинності Нотаріальної палати України (далі – Комісія з Кібербезпеки НПУ) оперативно ідентифіковано уражені комп’ютери у шести регіонах України та унеможливлено реалізацію зловмисного задуму, в деяких випадках, на заключних етапах здійснення несанкціонованих нотаріальних дій. Принагідно, та на прохання нотаріусів, забезпечено налаштування комп’ютерів, що дозволить скоротити потенційну поверхню атаки.
Наголошуємо, що попит на послуги з внесення змін до реєстрів зберігається, що неодмінно стимулюватиме зловмисників до подальшого проведення кібератак. Відтак, вбачаємо за доцільне ДП “НАІС” за сприяння Комісії з Кібербезпеки НПУ, та, за потреби, з залученням CERT-UA врахувати поточний ландшафт кіберзагроз та передбачити компенсаційні організаційно-технічні заходи, як на рівні ком’ютерів нотаріусів, так і на боці державних реєстрів. Слід додати, що територією вчинення злочину, щонайменше, в контексті вигодонабувачів, є Україна, а отже, боротьба з кіберзагрозою однозначно потребує залучення ресурсу правоохоронних органів України.
Закликаємо нотаріусів, у випадку виявлення підозрілої активності, невідкладно інформувати Нотаріальну палату України та CERT-UA для вжиття заходів з реагування.