Кібератака на державні сайти: знайшли дві шкідливі програми

Державна служба спеціального зв'язку та захисту інформації України опублікувала частину розслідування кібератаки на урядові сайти 14 січня, у якому йдеться про те, що для знищення даних використовували щонайменше дві програми.

Про це повідомляє "Економічна правда" з посиланням на пресслужбу Держспецзв’язку.

Служба підтвердила, що для порушення роботи систем зловмисники зробили шифрування або видалення даних: або вручну (за допомогою видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм: 

• BootPatch: програма виконує запис шкідливого коду в MBR жорсткого диска для його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп та спотворює дані, перезаписуючи кожен 199-й сектор жорсткого диска відповідним повідомленням.
• WhisperKill: виконує перезапис файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ.

Як попередньо з’ясували фахівці, найімовірніше кібератаку вчинили за допомогою компрометації ланцюга постачальників (supply chain). Це дозволило використати наявні довірчі зв’язки для виведення з ладу пов’язаних систем. Водночас не відкидаються ще два можливих вектори атаки – експлуатація вразливостей OctoberCMS та Log4j.

За наявними даними, згадана кібератака планувалася заздалегідь і проводилася в кілька етапів, зокрема із застосуванням елементів провокації.

Переважно урядові сайти зазнали дефейсу, за якого головна сторінка замінюється на іншу, а доступ до всього іншого сайту блокується або ж колишній вміст сайту видаляється.

Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайту додавали скрипт, який уже здійснював заміну контенту.

З цією метою зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей керування вебсайтів низки організацій. Також під час дослідження скомпрометованих систем виявлено підозрілу активність із використанням легітимних облікових записів. 

Додаткове вивчення виявленої IP-адреси 179.43.176[.]38 дозволило службі ідентифікувати копію вебкаталогу на 14 січня, з якого, ймовірно, здійснювалося завантаження інших файлів у межах кібератаки.

Центр кіберзахисту виявив додаткову IP-адресу 179.43.176[.]42, що стосувалася аналогічної активності у двох інших постраждалих організаціях.

Як повідомляв ІМІ, в Україні в ніч із 13 на 14 січня хакери вчинили масштабну кібератаку на урядові сайти. Атаки зазнали сайти Міністерства закордонних справ, Міністерства аграрної політики, Державної служби з надзвичайних ситуацій, Нацполіції, “Дії” та інші.

14 січня СБУ заявила, що витоку персональних  даних не відбулося. Того ж дня СБУ заявила про причетність російських спецслужб до кібератаки на органи державної влади України.

Загалом було атаковано понад 70 державних сайтів, 10 з яких зазнали несанкціонованого втручання.

Компанія Microsoft Corp заявила, що її фахівці знайшли шкідливий софт на декількох українських урядових сайтах та сайтах організацій, пов’язаних з урядом.

Міністр внутрішніх справ України Денис Монастирський повідомив, що кібератака на органи державної влади, яка сталася в ніч на 14 січня, була спланована і проведена спецслужбами Росії.

Держспецзв’язку заявила, що 22 сайти органів державної влади постраждали від масованої кібератаки, яка відбулася в ніч на 14 січня. Причетними до атаки є російській хакерські угруповання.

У ніч на 22 січня невідомий виклав на хакерському форумі Raid forum оголошення про продаж нібито персональних даних українців, зокрема з “Дії”, отриманих під час кібератаки 14 січня на державні сайти України. Департамент кіберполіції Національної поліції України заявив, що інформація про витік даних із порталу “Дія” не відповідає дійсності.

У Міністерстві цифрової трансформації інформацію про злив даних назвали “провокацією та продовженням гібридної війни”.