В Госспецсвязи рассказали подробности атаки на госсайты — использовали два типа программ
По данным подразделения Госспецсвязи, для удаления данных во время атаки на украинские госсайты 14 января хакеры использовали два типа программ.
Во время массовой атаки на украинские госсайты в ночь на 14 января злоумышленники произвели шифрование или удаление данных вручную или с помощью как минимум двух разновидностей вредоносных программ.
Об этом говорится в отчете подразделения Госспецсвязи CERT-UA.
Для удаления данных использовались такие разновидности программ:
BootPatch — приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
WhisperKill — выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
Также в CERT-UA отметили, что наиболее вероятным вектором реализации кибератаки является компрометация цепи поставщиков (supply chain). Это позволило хакерам использовать доверительные связи для вывода из строя связанных информационно-телекоммуникационных и автоматизированных систем.
Также не исключаются еще два возможных вектора атаки, а именно — эксплуатация уязвимостей OctoberCMS и Log4j.
«По имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов,
Отмечается, что было выявлено два типа атаки дефейс:
- полная замена главной страницы;
- в код веб-сайта добавлен скрипт, производящий замену контента.
С этой целью злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
В ночь с 13 на 14 января хакеры атаковали около 70 сайтов органов государственной власти Украины, в том числе сайты Минобразования, МИД, МВД, ГСЧС, Минспорта, Минэнерго, Минагрополитики, Минветеранов, портал Дія и многие другие. На ряде ресурсов злоумышленники разместили картинку с якобы объяснением своих действий на трех языках — украинском, русском и польском. Первым о кибератаке сообщило российское пропагандистское информагентство РИА-Новости.
По информации Центра стратегических коммуникаций и информационной безопасности, все доказательства указывают на то, что за кибератакой стоит Россия, заявили 16 января в Минцифре. Там подчеркнули, что РФ планирует вброс фейков о «сливе» персональных данных украинцев.
В конце декабря издание NYT сообщало, что Россия может готовить хакерские атаки, направленные на украинскую энергосеть и госорганы.
