В рамках международных операций удалось выявить источники одной из наиболее массовых в Украине вирусных рассылок с фальшивых адресов госорганов. Об этом «Капиталу» сообщил представитель украинского CERT (Computer Emergency Response Team of Ukraine — команда реагирования на компьютерные чрезвычайные происшествия в Украине).
Клюнули все
Как сообщало на прошлой неделе Миндоходов, вредоносный спам рассылался с использованием доменного имени ведомства (minrd.gov.ua) с адресов [email protected] и [email protected]. Письма поступали в виде счетов к оплате или жалоб на невозможность получения писем и содержали приложение в виде файла с расширением doc (на самом деле формат rtf).
При открытии файлов пользователь не замечал, что происходит с его компьютером. На самом деле его рабочее место поражалось вредоносным ПО, говорится в сообщении Миндоходов. По информации CERT, рассылка началась в начале февраля и идет до сих пор.
По словам специалиста CERT-UA, один из серверов уже обезврежен, а второй пока продолжает рассылку из Голландии. «Мы выяснили, что письма получают не только государственные органы, но и частные лица и компании», — отметил представитель CERT-UA. По его словам, центр получил около 80 писем от пострадавших, которые сообщают, что их «заразили».
80 человек обратились в CERT с жалобами на спам от Министерства доходов
Член высшего совета Интернет партии Украины Владислав Савчук говорит, что бороться с иностранными серверами, через которые идет рассылка, практически бесполезно. «Заказчик может находиться в Украине, но вычислить его могут только специалисты высочайшего класса, которых у нас нет», — отмечает он и добавляет, что если даже IP-адрес сервера рассыльщика заблокируют, он моментально перенесет свою активность на другой иностранный сервер.
Целью заражения, по словам представителя CERT-UA, может быть как создание новой бот-сети на базе инфицированных компьютеров, так и получение важной информации. Савчук добавляет, что в таких случаях обычно преследуется цель воровства личных данных, паролей, платежных реквизитов для последующей монетизации через хищение денежных средств. «В ходе заражения происходит установка вредоносной программы-шпиона. Судя по получателям трояна — это целевая атака против государственных органов Украины. В таком случае целью атакующих является кража информации», — отмечает главный антивирусный эксперт Лаборатории Касперского Александр Гостев.
Власти беспомощны
CERT-UA пытался проинформировать государственные учреждения и предприятия о том, что нужно делать, если компьютеры были заражены. Но во многих случаях в них попросту нет штатных специалистов, уполномоченных заниматься подобными вопросами, сетует представитель CERT-UA. Поэтому во многих случаях проблемы остаются нерешенными.
Собеседник «Капитала» призывает к тому, чтобы ввести в структуре власти уполномоченных по IT-вопросам, с которыми можно было бы общаться в случае киберугроз. Владислав Савчук отмечает, что специалистов было бы больше, если бы наше государство научилось использовать хакеров на благо родины, как это делают другие страны. А сейчас их только пытаются посадить.
Хакеры в последнее время все чаще прибегают к рассылке вредоносного спама от имени властей. Гендиректор «Майкрософт Украина» Дмитрий Шимкив отмечает, что несколько недель назад подобная рассылка проводилась злоумышленниками в госорганы от имени СБУ. «Если в подобных рассылках содержится призыв установить обновление для какого‑либо продукта, мы настоятельно рекомендуем ни в коем случае не переходить по указанным в таких письмах ссылках», — отмечает менеджер. Все настоящие обновления находятся на официальных ресурсах компаний — производителей ПО.
Савчук рекомендует использовать облачные почтовые сервисы, такие как Gmail, Yahoo, ukr.net, в которых работает антивирусное ПО, не пропускающее письма с вирусами. По его словам, риск «подхватить вирус» гораздо больше у пользователей так называемых почтовых клиентов, вроде Outlook. Отметим, что подобные программы — это как раз наиболее распространенный вариант e-mail-сервиса в государственных органах.