Во враждебных действиях замечено Управление КГБ по Гомельской области.

Интернет-домен gomelbest.info и привязанный к нему почтовый ящик [email protected] причастны к хакерской атаке на государственные учреждения и объекты инфраструктуры Украины, пишет "Белорусский партизан".

В марте этого года украинская команда специалистов по кибербезопасности CyS Centrum опубликовала отчет «Целевая атака на предприятия Украины с использованием вредоносной программы Ursnif». Из отчета следует, что 14 марта были зафиксированы волны целенаправленных атак, в результате которых произошли сбои в работе предприятий речного и морского транспорта.

Авторы атаки использовали обычную электронную почту. С разных почтовых ящиков на адреса жертв приходили письма якобы от Государственной налоговой службы Украины. Сотрудники CyS Centrum полагают, что это выполняло роль «приманки» и заставляло людей открыть письмо с документом. Как только пользователь открывал его, вредоносная программа предлагала активировать контент (запустить макрос) и после активации встроенный вредоносный код запускался сам.

Так выглядело письмо с вредоносной программой, которое хакеры присылали на украинские предприятия

На следующем этапе на компьютер закачивалась программа Ursnif. В функции Ursnif входит дистанционное выполнение различных команд, похищение информации и личных данных.

В конце отчета специалисты приводят неполный список сайтов и закрепленных за ними email-адресов, так или иначе связанных с кибератакой. Большинство из них – зарегистрированы в России. Но фигурирует в списке и gomelbest.info.

Как недавно стало известно, сайт gomelbest.info администрирует непосредственно управление КГБ по Гомельской области. Об этом рассказал экс-агент белорусской спецслужбы Сергей Васильев, который был администратором сайта в течение почти 9 лет, а сейчас эмигрировал в Польшу.

«Идея создания сайта принадлежала заместителю председателя областного КГБ Александру Титову, он отвечал за содержание, а я – за техническое обеспечение», – признался журналистам Васильев.

По словам Васильева, после отъезда в Польшу, он отключил сайт, но в КГБ сделали копию-зеркало и ресурс продолжает работать.

Белсат спросил у Васильева, можно ли допустить, что подконтрольный КГБ сайт и почтовый ящик были взломаны, и только потом с них начали атаку.

«Британская компания VPS.NET, у которой мы приобрели сервер, берет на себя обязанность отслеживать все попытки взлома своих клиентов. Ес такая попытка фиксируется, ее срочно блокируют. По этому стандарту работают все аналогичные европейские и американские компании. За время моей работы администратором нас никогда не взламывали. Сайт всегда был очень хорошо защищен. Даже не знаю, зачем КГБ могло все это понадобится», – говорит Васильев.

Журналисты обратились за комментарием к представителю CyS Centrum, он ответил на условиях анонимности.

«Мы не ставили задачу связать атаку и тех, кто за ней стоит. Публичные обвинения – не наш стиль. Специалисты команды концентрируются на том, чтобы повышать уровень информированности граждан и организаций о киберугрозах и вырабатывать меры противодействия. Но наших «кибер-врагов» мы знаем и оцениваем адекватно. Даже если конкретные вредоносные мейлы шли с другого почтового ящика, этот ящик входит в одну инфраструктуру с тем сайтом, о котором вы говорите. Простыми словами, им следовало бы лучше конспирироваться», – сказал эксперт.

В последнее время Украина неоднократно обвиняла в хакерских атаках Россию. В мае агентство Reuters написало, что российские хакеры подозреваются в атаке на энергосети стран Балтии и Украины. А 16 мая киберпреступники из России атаковали сайт администрации президента Порошенко, об этом заявил заместитель председателя ведомства Дмитрий Шимкив. Он подчеркнул: атака идет ис ресурсов «Вконтате» и «Яндекс».

Беларусь же в громких кибератак замечена ранее не была.