Під час кібератак на держсайти використовували дві програми

 

Під час кібератаки на урядові сайти для знищення даних використовували щонайменше дві програми. Про це повідомляє Держспецзв'язку в середу, 26 січня.

 

Як встановила служба, для порушення роботи систем зловмисники шифрували або видаляли дані: або вручну (шляхом видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм:

 

 

Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дозволило використовувати існуючі довірчі зв'язки виведення з ладу пов'язаних систем.

 

Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки - експлуатація вразливостей OctoberCMS і Log4j.

 

Згідно з наявними даними, згадана кібератака планувалася заздалегідь і проводилася в кілька етапів, у т.ч. із застосуванням елементів провокації.

 

Переважно урядові сайти випробували дефейс, коли головна сторінка замінюється на іншу, а доступ до решти сайту блокується, або колишній вміст сайту видаляється. Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайту додавали скрипт, що вже здійснював заміну контенту. Для цього зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей управління веб-сайтів низки організацій. Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.

 

Крім того, додаткове вивчення виявленої IP-адреси 179.43.176[.]38 дозволило Службі ідентифікувати копію веб-каталогу за 14 січня, з якого, ймовірно, було завантажено інші файли в рамках кібератаки. Центр кіберзахисту виявив додаткову IP-адресу 179.43.176[.]42, що стосувалося аналогічної активності у двох інших постраждалих організаціях.

 

Нагадаємо, у ніч на 14 січня на Україну було здійснено кібератаку, внаслідок якої з ладу вийшли близько 70 урядових і регіональних сайтів. Фахівці спочатку припустили, що це справа кіберзлочинців з РФ. Мета хакерів - дестабілізувати внутрішню ситуацію в країні, посіяти хаос і зневіру в суспільстві. Але згодом заступник Секретаря РНБО Сергій Демедюк заявив, що за кібератакою може стояти хакерське угруповання UNC1151, пов'язане з білоруською розвідкою.

 

Новини від Корреспондент.net у Telegram. Підписуйтесь на наш канал https://t.me/korrespondentnet