У Держспецзв’язку розповіли подробиці атаки на держсайти — використали два типи програм

26 січня 2022, 20:00

За даними підрозділу Держспецзв’язку, для видалення даних під час атаки на українські держсайти 14 січня хакери використали два типи програм.

Під час масової атаки на українські держсайти в ніч на 14 січня зловмисники шифрували або видалили дані вручну або за допомогою як мінімум двох різновидів шкідливих програм.

Відео дня

Про це йдеться у звіті підрозділу Держспецзв’язку CERT-UA.

Для видалення даних використовувалися такі різновиди програм:

BootPatch — програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп та спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.

WhisperKill — виконує перезапис файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.

Також у CERT-UA зазначили, що найімовірнішим вектором реалізації кібератаки є компрометація ланцюга постачальників ( Supply chain). Це дозволило хакерам використовувати довірчі зв’язки для виведення з ладу пов’язаних інформаційно-телекомунікаційних та автоматизованих систем.

Також не виключаються ще два можливі вектори атаки, а саме експлуатація вразливостей OctoberCMS і Log4j.

«За наявними даними, згадана кібератака планувалася заздалегідь і проводилася в кілька етапів, зокрема із застосуванням елементів провокації», — заявили в CERT-UA.

Зазначається, що було виявлено два типи атаки дефейс:

  • повна заміна головної сторінки;
  • у код вебсайту доданий скрипт, який здійснює заміну контенту.

З цією метою зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей управління веб-сайтів низки організацій. Також у ході дослідження скомпрометованих систем було виявлено підозрілу активність з використанням легітимних акаунтів.

У ніч із 13 на 14 січня хакери атакували близько 70 сайтів органів державної влади України, зокрема сайти Міносвіти, МЗС, МВС, ДСНС, Мінспорту, Міненерго, Мінагрополітики, Мінветеранів, портал Дія та багато інших. На низці ресурсів зловмисники розмістили картинку з нібито поясненням своїх дій трьома мовами — українською, російською та польською. Першим про кібератаку повідомило російське пропагандистське інформагентство РІА-Новини.

За інформацією Центру стратегічних комунікацій та інформаційної безпеки, всі докази вказують на те, що за кібератакою стоїть Росія, заявили 16 січня у Мінцифрі. Там наголосили. що РФ планує вкидання фейків про «злив» персональних даних українців.

Наприкінці грудня видання NYT повідомляло, що Росія може готувати хакерські атаки, спрямовані на українську енергомережу та держоргани.

Редактор: Люба Балашова
Показати ще новини
Радіо NV
X