24 октября системы одесского аэропорта, киевского метрополитена и ряд других предприятий пострадали от от атаки вируса-шифровальщика BadRabbit. Но часто за громкими взломами злоумышленники пытаются скрыть более важную атаку. Именно это и происходило в случае октябрьского инцидента, рассказал глава Киберполиции Сергей Демедюк агентству Reuters.
“Есть открытая, мгновенно очевидная атака, а в это же время под полой происходит скрытая, хорошо продуманная атака, на которую никто не обращает внимания. Главная теория, над которой мы сейчас работаем, в том, что они (злоумышленники, стоящие за обеими атаками) были одними и теми же. Целью было получение удаленного и не обнаруженного доступа”, – утверждает Демедюк.
Скрытая атака была направлена на пользователей бухгалтерского ПО “1С”, которые получали фишинговые письма якобы от разработчика. Один из дистрибьюторов системы подтвердил Reuters, что клиенты стали целью атаки.
Редакции AIN.UA также удалось подтвердить факт рассылки и получить пример одного из фишинговых писем, отправленных с бесплатного украинского почтового сервиса. Иронично, авторы “в связи с возрастающим количеством атак на программный продукт “1C Enterprise”, предлагали бесплатно поставить обновление, “позволяющее закрыть найденные бреши и повысить защищенность продукта”. Архив с “обновлением” размещался на GitHub, но теперь заблокирован по DMCA-запросу.
Глава Киберполиции говорит, что департаменту стало известно об атаке после того, как около 15 компаний сообщили о взломе. Пока общее количество жертв правоохранителям выяснить не удалось.
Напомним, что заражение вирусом-шифровальщиком BadRabbit не получило такого широкого распространения – о том, что атака остановлена, СБУ сообщила уже на следующий день. В то же время эксперты в сфере кибербезопасности указывают на схожести вредоноса BadRabbit с шифровальщиком NotPetya, который атаковал Украину летом. Демедюк утверждает, что злоумышленники использовали бэкдоры, установленные во время июньской атаки, в последующих кампаниях.