Масштабная кибератака, построенная на доверии к государственным структурам, затронула более 200 тысяч компьютеров в Украине. Злоумышленники рассылали поддельные уведомления от имени CERT-UA и через них распространяли вредоносное ПО.
Операция строилась вокруг писем, замаскированных под официальные сообщения команды реагирования на компьютерные инциденты Украины.
Письма имитировали предупреждение о якобы продолжающейся кибератаке — это подталкивало получателей открывать вложения или переходить по ссылкам. Рассылка охватила около миллиона почтовых аккаунтов в домене UKR.NET, что обеспечило широкий охват и высокий процент вовлечения.
Внутри кампании хакерами использовался вредоносный код под названием The Cult. После запуска он закреплялся в системе и передавал атакующим контроль над заражёнными устройствами. В итоге значительное число компьютеров оказалось под внешним управлением, открывая доступ к данным и внутренним сетям организаций.
Произошедшее получило подтверждение на государственном уровне. Отреагировали Верховная рада Украины и Государственная служба специальной связи и защиты информации. Украинские медиа сообщили о последствиях в самых разных сферах — государственных учреждениях, медицинских организациях, охранных компаниях, финансовых структурах и учебных заведениях.
Сам механизм атаки — классическая социальная инженерия с точно подобранной маскировкой. Имя CERT-UA сработало именно потому, что пользователи привыкли доверять официальным источникам. В ИТ-сообществе подобные инциденты воспринимаются как напоминание о том, что даже зрелые системы киберзащиты могут давать сбой, когда атака бьёт не по техническим уязвимостям, а по человеческой психологии.