EN
FR
DEЕксперти Держспецзв’язку проінформували, що після встановлення піратського програмного забезпечення відбувається зараження хосту і первинна компрометація інформаційних систем компаній. Далі хакерами встановлюється додаткове програмне забезпечення (ПЗ) для віддаленого доступу і йде подальше горизонтальне просування системами організації.
Тобто навіть одна “зламана” програма: чи то пакет офісних програм, чи пасьянс “косинка”, встановлений на один із компʼютерів організації, може відкрити двері Службі зовнішньої розвідки росії та іншим спецслужбам рф до інформації про організацію.
У багатьох випадках для додаткового доступу хакери використовують легітимне ПЗ для віддаленого адміністрування або для проведення тестування на вразливості (DWAgent, Stowaway). І відстежити такий доступ засобами кіберзахисту складніше.
Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA також досліджувала кіберінциденти зі зламу ІКС організацій через встановлення піратських операційних систем Windows. У таких випадках нібито чистий хост уже має вбудовані бекдори для віддаленого доступу зловмисників. Крім того, в таких ОС відключені сервіси захисту, можливості оновлення та заблокований доступ до ресурсів Microsoft. Це полегшує хакерам виконання подальших несанкціонованих дій та дозволяє залишатися непомітними для користувача ЕОМ.
При цьому мотивація хакерів, залежно від типу постраждалої організації, може бути різною: від кібершпіонажу та деструктивних дій – до фінансових операцій з викрадення облікових даних кредитних карток і подальшого викрадення коштів.
Наталя Толуб
