Подконтрольный КГБ сайт имеет отношение к хакерской атаке на украинские предприятия


Интернет-домен gomelbest.info и привязанный к нему почтовый ящик gomel.best@yandex.ru причастны к хакерской атаке на государственные учреждения и объекты инфраструктуры Украины.

В марте этого года украинская команда специалистов по кибербезопасности CyS Centrum опубликовала отчет «Целевая атака на предприятия Украины с использованием вредоносной программы Ursnif». Из отчета следует, что 14 марта были зафиксированы волны целенаправленных атак, в результате которых произошли сбои в работе предприятий речного и морского транспорта.

Авторы атаки использовали обычную электронную почту. С разных почтовых ящиков на адреса жертв приходили письма якобы от Государственной налоговой службы Украины. Сотрудники CyS Centrum полагают, что это выполняло роль «приманки» и заставляло людей открыть письмо с документом. Как только пользователь открывал его, вредоносная программа предлагала активировать контент (запустить макрос) и после активации встроенный вредоносный код запускался сам.

Так выглядело письмо с вредоносной программой, которое хакеры присылали на украинские предприятия

На следующем этапе на компьютер закачивалась программа Ursnif. В функции Ursnif входит дистанционное выполнение различных команд, похищение информации и личных данных.

В конце отчета специалисты приводят неполный список сайтов и закрепленных за ними email-адресов, так или иначе связанных с кибератакой. Большинство из них – зарегистрированы в России. Но фигурирует в списке и gomelbest.info.

Как стало известно, сайт gomelbest.info администрирует непосредственно управление КГБ по Гомельской области. Об этом рассказал экс-агент белорусской спецслужбы Сергей Васильев, который был администратором сайта в течение почти 9 лет, а сейчас эмигрировал в Польшу.

Сергей Васильев

«Идея создания сайта принадлежала заместителю председателя областного КГБ Александру Титову, он отвечал за содержание, а я – за техническое обеспечение», – признался журналистам Васильев.

По словам Васильева, после отъезда в Польшу, он отключил сайт, но в КГБ сделали копию-зеркало и ресурс продолжает работать.

Мы спросили у Васильева, можно ли допустить, что подконтрольный КГБ сайт и почтовый ящик были взломаны, и только потом с них начали атаку.

«Британская компания VPS.NET, у которой мы приобрели сервер, берет на себя обязанность отслеживать все попытки взлома своих клиентов. Если такая попытка фиксируется, ее срочно блокируют. По этому стандарту работают все аналогичные европейские и американские компании. За время моей работы администратором нас никогда не взламывали. Сайт всегда был очень хорошо защищен. Даже не знаю, зачем КГБ могло все это понадобится», – говорит Васильев.

Мы обратились за комментарием к представителю CyS Centrum, он пообщался с журналистом на условиях анонимности.

«Мы не ставили задачу связать атаку и тех, кто за ней стоит. Публичные обвинения – не наш стиль. Специалисты команды концентрируются на том, чтобы повышать уровень информированности граждан и организаций о киберугрозах и вырабатывать меры противодействия. Но наших «кибер-врагов» мы знаем и оцениваем адекватно. Даже если конкретные вредоносные мейлы шли с другого почтового ящика, этот ящик входит в одну инфраструктуру с тем сайтом, о котором вы говорите. Простыми словами, им следовало бы лучше конспирироваться», – сказал эксперт.

В последнее время Украина неоднократно обвиняла в хакерских атаках Россию. В мае агентство Reuters написало, что российские хакеры подозреваются в атаке на энергосети стран Балтии и Украины. А 16 мая киберпреступники из России атаковали сайт администрации президента Порошенко, об этом заявил заместитель председателя ведомства Дмитрий Шимкив. Он подчеркнул: атака идет из ресурсов «Вконтате» и «Яндекс».

Беларусь же в громких кибератаках замечена ранее не была.

Сейчас «Белсат» направил официальный запрос в Службу безопасности Украины и ждет ответа относительно роли gomelbest.info в указанной атаке.

Екатерина Андреева/ТП, belsat.eu

Смотрите также
Комментарии