Новини

У Держспецзвʼязку оприлюднили деталі розслідування кібератаки на урядові сайти в Україні

Автор:
Катерина Кадакова
Дата:

Pixabay

Державна служба спеціального звʼязку і захисту інформації опублікувала фрагмент розслідування кібератаки на урядові сайти в ніч проти 14 січня.

Як зазначає Держспецзв’язку, для шифрування або видалення даних хакери використовували щонайменше дві програми:

Також фахівці не виключають ймовірність знищення даних унаслідок ручного видалення віртуальних машин.

Водночас у Держспецзв’язку розповіли, що, найімовірніше, атаку здійснили, скомпрометувавши ланцюг постачальників (supply chain). Це дозволило вивести з ладу пов’язані системи. Також зловмисники могли використати вразливості OctoberCMS і Log4j.

За даними Держспецзв’язку, кібератака планувалася заздалегідь і проводилася в кілька етапів, зокрема зловмисники вдалися до провокації.

Також зазначається, що хакери використали атаку типу «дефейс», за якої головна сторінка вебсайту замінюється на іншу, а доступ до решти сайту блокується або ж колишній вміст сайту видаляється.

Зокрема, зловмисники на деяких сайтах повністю замінили головну сторінку, а в код сайту додавали скрипт, що заміняє контент. Для цього зранку 14 січня з мережі TOR вони отримали доступ до панелей керування сайтів низки організацій. При цьому ознаки підбору автентифікаційних даних відсутні.

Під час розслідування фахівці виявили підозрілу активність з низки IP-адрес, а в облікових записах — копії веб-каталогів, з яких могли завантажувати інші файли.