2023-02-11 18:46:06
Повторно викладаємо
Звіт комісії Нотаріальної палати України з питань інформатизації, цифрової трансформації та запобігання кіберзлочинності щодо масових атак на комп’ютери нотаріусів
Члени комісії детально вивчили ситуації, щодо вчинення протиправних реєстраційних дій, вчинених від імені нотаріусів, в Державному реєстрі речових прав та Єдиному державному реєстрі юридичних осіб, фізичних осіб-підприємців та громадських формувань та повідомляє наступне.
Основним методом атаки на комп’ютери нотаріусів (точка входу при злочинних діях третіх осіб) є надсилання фішингових листів електронною поштою на офіційні електронні адреси нотаріальних контор, приватних нотаріусів, державних нотаріальних архівів. Офіційні електронні адреси нотаріусів наявні у відкритому доступі в мережі інтернет, також розміщені на вебсайтах територіальних органів юстиції, що надає можливість зловмисникам проводити масові розсилки електронною поштою фішингових листів. У зв’язку з тим, що нотаріуси використовують різні поштові сервіси, неможливо централізовано і ефективно протидіяти отриманню таких листів, фільтрувати їх (блокувати).
Фішингові листи, надіслані зловмисниками, зазвичай містять у тексті повідомлення посилання для завантаження файлу, або ж до листа прикріплено наявний файл, як вкладення. Після завантаження та відкриття шкідливого файлу (з 2019 року йде завантаження iso файлу, який в собі містить шкідливі інструменти) на комп’ютері «жертви» відбувається наступне:
· Запускається виконуваний файл (в останніх кейсах ngrok.exe, але може зустрічатися з різними іменами), що дозволяє встановити мережевий тунель між комп’ютером жертви та комп’ютером зловмисника і дати можливість перенаправляти мережевий трафік при роботі з Єдиними і Державними реєстрами на комп’ютер зловмисника. Цей сервіс зазвичай запускається на порту з номером 3389;
· Зловмисники за допомогою скриптів автозапуску додає до локальних користувачів власного користувача з довільним ім’ям та додає його до груп Адміністратор та Користувачі віддаленого доступу;
· Зловмисники використовують програмне забезпечення winaerotweaker, яке дозволяє швидко отримати доступ до прихованих налаштувань операційної системи windows;
· Зловмисники використовують RDP Wrapper. Повноцінний RDP сервер (який відсутній у домашніх редакціях Windows), який надає можливість одночасної роботи кількох користувачів через віддалений робочий стіл та підтримує роботу на віддаленому робочому столі з використанням кількох моніторів;
· Зловмисники використовують утиліту Mimikatz для отримання автентифікаційних даних користувачів windows, фактично отримують ім’я користувача та пароль;
· За допомогою утиліти Fiddler (зручний аналізатор трафіку та проксі сервер) зловмисники аналізують трафік між комп’ютером жертви та серверами Єдиних та державних реєстрів, отримують логін та пароль доступу до реєстрів, OTP код, а також можуть підміняти інші дані (в тому числі номери заяв, рішень в ДРРП), які неможливо виконати при нормальній роботі через встановлені інтерфейси доступу.
848 views15:46