RU
 

Під час кібератак на держсайти використовували дві програми

Текст: ,  26 січня 2022, 20:59
0
828
Під час кібератак на держсайти використовували дві програми
Фото: Spiegel
Кібератака на держсайти: використовувалися дві програми

Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain), заявили у Держспецзв'язку.

 
Під час кібератаки на урядові сайти для знищення даних використовували щонайменше дві програми. Про це повідомляє Держспецзв'язку в середу, 26 січня.
 
Як встановила служба, для порушення роботи систем зловмисники шифрували або видаляли дані: або вручну (шляхом видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм:
 
  • BootPatch: програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.
  • WhisperKill: виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.
 
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дозволило використовувати існуючі довірчі зв'язки виведення з ладу пов'язаних систем.
 
Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки - експлуатація вразливостей OctoberCMS і Log4j.
 
Згідно з наявними даними, згадана кібератака планувалася заздалегідь і проводилася в кілька етапів, у т.ч. із застосуванням елементів провокації.
 
Переважно урядові сайти випробували дефейс, коли головна сторінка замінюється на іншу, а доступ до решти сайту блокується, або колишній вміст сайту видаляється. Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайту додавали скрипт, що вже здійснював заміну контенту. Для цього зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей управління веб-сайтів низки організацій. Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.
 
Крім того, додаткове вивчення виявленої IP-адреси 179.43.176[.]38 дозволило Службі ідентифікувати копію веб-каталогу за 14 січня, з якого, ймовірно, було завантажено інші файли в рамках кібератаки. Центр кіберзахисту виявив додаткову IP-адресу 179.43.176[.]42, що стосувалося аналогічної активності у двох інших постраждалих організаціях.
 
Нагадаємо, у ніч на 14 січня на Україну було здійснено кібератаку, внаслідок якої з ладу вийшли близько 70 урядових і регіональних сайтів. Фахівці спочатку припустили, що це справа кіберзлочинців з РФ. Мета хакерів - дестабілізувати внутрішню ситуацію в країні, посіяти хаос і зневіру в суспільстві. Але згодом заступник Секретаря РНБО Сергій Демедюк заявив, що за кібератакою може стояти хакерське угруповання UNC1151, пов'язане з білоруською розвідкою.
 
Новини від Корреспондент.net у Telegram. Підписуйтесь на наш канал https://t.me/korrespondentnet
ТЕГИ: хакерысайтхакерсайтыкибератака
Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію.
Читати коментарі