Фото: Spiegel
Кібератака на держсайти: використовувалися дві програми
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain), заявили у Держспецзв'язку.
Під час кібератаки на урядові сайти для знищення даних використовували щонайменше дві програми. Про це
повідомляє Держспецзв'язку в середу, 26 січня.
Як встановила служба, для порушення роботи систем зловмисники шифрували або видаляли дані: або вручну (шляхом видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм:
-
BootPatch: програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.
-
WhisperKill: виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дозволило використовувати існуючі довірчі зв'язки виведення з ладу пов'язаних систем.
Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки - експлуатація вразливостей OctoberCMS і Log4j.
Згідно з наявними даними, згадана кібератака планувалася заздалегідь і проводилася в кілька етапів, у т.ч. із застосуванням елементів провокації.
Переважно урядові сайти випробували дефейс, коли головна сторінка замінюється на іншу, а доступ до решти сайту блокується, або колишній вміст сайту видаляється. Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайту додавали скрипт, що вже здійснював заміну контенту. Для цього зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей управління веб-сайтів низки організацій. Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.
Крім того, додаткове вивчення виявленої IP-адреси 179.43.176[.]38 дозволило Службі ідентифікувати копію веб-каталогу за 14 січня, з якого, ймовірно, було завантажено інші файли в рамках кібератаки. Центр кіберзахисту виявив додаткову IP-адресу 179.43.176[.]42, що стосувалося аналогічної активності у двох інших постраждалих організаціях.
Нагадаємо, у ніч на 14 січня на Україну було
здійснено кібератаку, внаслідок якої з ладу вийшли близько 70 урядових і регіональних сайтів. Фахівці спочатку припустили, що це
справа кіберзлочинців з РФ. Мета хакерів - дестабілізувати внутрішню ситуацію в країні, посіяти хаос і зневіру в суспільстві. Але згодом заступник Секретаря РНБО Сергій Демедюк заявив, що за кібератакою може стояти хакерське угруповання
UNC1151, пов'язане з білоруською розвідкою.