{
	"id": "fdf34df1-536a-4175-a9b9-d16caa0498e7",
	"created_at": "2026-04-06T00:17:55.643377Z",
	"updated_at": "2026-04-10T13:12:15.849788Z",
	"deleted_at": null,
	"sha1_hash": "8507e10bd26763a7621423f950ee28687164a683",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1180623,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 12:46:02 UTC\r\nУрядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA у тісній взаємодії з\r\nфахівцями Національного банку України (CSIRT-NBU) та Департаменту кіберполіції Національної поліції\r\nУкраїни вжито окремих заходів з дослідження інцидентів інформаційної безпеки, що мали місце\r\n15.02.2022. \r\nЗауважимо, що згадані кібератаки, на відміну від типової точкової діяльності окремих груп зловмисників,\r\nпов’язаної із розповсюдженням шкідливих програм, спір-фішингу, викраденням даних тощо, в більшості\r\nсвоїй були спрямовані на інфраструктурні елементи кіберпростору та окремі галузі, в тому числі, маючи\r\nпідтекст інформаційно-психологічних операцій, спрямованих на дестабілізацію ситуації в країні.\r\nСеред основних способів реалізації зловмисного задуму можна виділити такі.\r\n1. Розсилання фейкових SMS-повідомлень громадянам про, начебто, порушення штатного режиму\r\nфункціонування банкоматів окремих державних фінансових установ.\r\nРис.1 Приклад фейкового SMS-повідомлення\r\n2. Розсилання електронних поштових повідомлень серед низки фінансових установ про мінування\r\nприміщень та будівель останніх. Було встановлено, що зазначена діяльність може здійснюватися\r\nмешканцем Донецької області.\r\nhttps://cert.gov.ua/article/37139\r\nPage 1 of 3\n\nРис.2 Приклад електронного листа з повідомленням про мінування\r\n3. Проведення розподілених атак на відмову в обслуговуванні (DDoS) у відношенні веб-ресурсів\r\nукраїнських банків та державних установ. В рамках дослідження, в тому числі, з урахуванням інформації\r\nвід партнерів, визначено, що до здійснення атак, серед іншого, залучено бот-мережі Mirai\r\n(https://twitter.com/360Netlab/status/1493797519725367302) та Meris (шкідливий інформаційний потік\r\nспрямовується через тисячі зламаних маршрутизаторів Mikrotik та ряду інших IoT пристроїв з фільтрацією\r\nджерел за допомогою ACL, що дозволяє приховати згадані пристрої від пошукових систем на кшталт\r\nShodan). Зазначене, з високим рівнем впевненості, дозволяє припустити, що для проведення атак\r\nвикористано наявні потужності зловмисників, що надаються як послуга (DDoS as a Service).\r\nУ зв’язку з тим, що кількість подібних пристроїв налічує більше 30000, список IP-адрес розповсюджено\r\nсеред суб’єктів координації за допомогою платформи MISP.\r\nРис.3 Приклад налаштування проксі-серверу Mikrotik та транзитного передавання інформаційних потоків\r\n4. Унеможливлення доступу до веб-ресурів в зоні gov.ua шляхом здійснення DDoS-атаки на обслуговуючі\r\nDNS-сервери (https://hostmaster.ua/news/?pr20220216). Виведення з ладу декількох серверів доменних імен\r\nпризвело до тимчасового порушення доступу до значної кількості веб-ресурсів державних органів у\r\nзв’язку з неможливістю визначення A-запису (IP-адреси) для відповідних доменних імен.\r\nhttps://cert.gov.ua/article/37139\r\nPage 2 of 3\n\nРис.4 Приклад неможливості отримання A-запису для веб-ресурсу в зоні gov.ua\r\n5. Підозріла маніпуляція з налаштуваннями автономних систем на рівні протоколу BGP. Так, за даними\r\nCisco Crosswork (http://bgpstream.com/event/287011) протягом більше ніж двох годин, починаючи з 15:30\r\n15.02.2022, префікс 217.117.7.0/24, який фактично належить Inq-Digital-Nigeria-AS (AS16284), було\r\nанонсовано від імені автономної системи Приватбанку (AS15742) через автономну систему нігерійського\r\nоператора телекомунікацій AS37148.\r\nРис.5 Приклад анонсування префіксу 217.117.7.0/24, начебто, від AS15742\r\nЗважаючи на значний зріст кількості кіберінцидентів, а також, ураховуючи той факт, що під час реагування\r\nна події інформаційної безпеки значну частину часу займає процес налагодження комунікації з суб’єктом\r\nкоординації та збір і передавання цифрових доказів, наполегливо рекомендуємо державним органам,\r\nоб’єктам критичної інфраструктури налагодити оперативний зв’язок та процес інформаційного обміну з\r\nCERT-UA.\r\nSource: https://cert.gov.ua/article/37139\r\nhttps://cert.gov.ua/article/37139\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "UK",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://cert.gov.ua/article/37139"
	],
	"report_names": [
		"37139"
	],
	"threat_actors": [],
	"ts_created_at": 1775434675,
	"ts_updated_at": 1775826735,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/8507e10bd26763a7621423f950ee28687164a683.pdf",
		"text": "https://archive.orkl.eu/8507e10bd26763a7621423f950ee28687164a683.txt",
		"img": "https://archive.orkl.eu/8507e10bd26763a7621423f950ee28687164a683.jpg"
	}
}