Мемлекеттік техникалық қызметімен мемлекеттік органдарға жасалған кибершабуылға тойтарыс берілді

«МТҚ» АҚ KZ-CERT Компьютерлік инциденттерге әрекет ету қызметі «First Heartland Jýsan Bank» АҚ атынан жіберілім ретінде жасырылған, зиянды жіберілім анықталғаны туралы хабарлайды.
Зиянкестер жіберушінің мекенжайын (email-spoofing) ауыстыру  арқылы жіберілімді жүзеге асыратын бұл бір ғана жағдай емес. Сонымен барынша қамту үшін жіберілімді танымал брендтердің атынан жүзеге асырылады. Бұл жағдайда жіберілім банктің ойдан шығарылған жұмыскерінің атынан банктің қызметтерді сатып алуды жүзеге асыру үшін коммерциялық ұсыныстарды сұрайтындығы және файлмен техникалық ерекшелік қоса тіркелгені туралы жүзеге асырылды. Бұл файлға жасалған талдау оның LOKIBOT сияқты зиянды бағдарламалық қамтылымға жататындығын анықтауға мүмкіндік берді. LOKIBOT процесін іске қосқан кезде зиянкестің серверіне пайдаланушының компьютерінен алынған әртүрлі ақпарат жіберілетініне назар аударғымыз келеді. Көбінесе бұл дербес деректер және қызметтік құпия ақпарат, оның ішінде сақталған құпия сөздер.

«МТҚ» АҚ орналасқан «электрондық үкіметтің» электрондық поштасының бірыңғай шлюзі (ЭҮБШ) арқылы анықталған мемлекеттік органдарға қатысты спам-жіберілімдер мен зиянды салымдары бар хаттар карантинге орналастырылды және нысаналы алушыларға дейін жеткізілмеді.

Зиянды белсенділікті жою мақсатында аумағында зиянды белсенділік көздері орналасқан ИР иелері мен шетелдік елдердің ұйымдарының атына хабарламалар жіберілді.

Сіздің ұйымыңыздың желісінде жоғарыда көрсетілген зиянды бағдарламалық қамтылымның (ЗБҚ) болуын тексеру үшін KZ-CERT қызметі ұсынады:
- Tender.doc.exe процесінің бар болуына іске қосылған процестердің тізімін, сондай-ақ келесі жолда "C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe" файлдың болуын тексеруді.
- Зиянкестердің  басқарушы серверлерімен (51.195.53.221, 199.101.134.238, 192.124.249.24) Сіздің ұйымыңыздың желісінен қосылыстардың болуын тексеру.
- ЗБҚ болуына вирусқа қарсы бағдарламалық қамтылымның көмегімен хосттарды сканерлеуді.

Егер сіз ақпараттық қауіпсіздік инцидентінің құрбаны болсаңыз, біздің мамандарға 1400 (тәулік бойы) тегін нөмірі бойынша хабарлауды немесе Telegram-чатқа: https://t.me/kzcert  өтінім жіберуді сұраймыз.

«Мемлекеттік техникалық қызмет» АҚ
Тел: +7-717-255-99-97
        1400 (моб.)   
E-mail: info@kz-cert.kz
incident@kz-cert.kz

дата материала: 
05.05.2021