У Держспецзвʼязку оприлюднили деталі розслідування кібератаки на урядові сайти в Україні

Державна служба спеціального звʼязку і захисту інформації опублікувала фрагмент розслідування кібератаки на урядові сайти в ніч проти 14 січня.

Як зазначає Держспецзв’язку, для шифрування або видалення даних хакери використовували щонайменше дві програми:

• BootPatch (запис шкідливого коду в MBR жорсткого диску з метою його незворотної модифікації);
• WhisperKill (перезапис файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ).

Також фахівці не виключають ймовірність знищення даних унаслідок ручного видалення віртуальних машин.

Водночас у Держспецзв’язку розповіли, що, найімовірніше, атаку здійснили, скомпрометувавши ланцюг постачальників (supply chain). Це дозволило вивести з ладу пов’язані системи. Також зловмисники могли використати вразливості OctoberCMS і Log4j.

За даними Держспецзв’язку, кібератака планувалася заздалегідь і проводилася в кілька етапів, зокрема зловмисники вдалися до провокації.

Також зазначається, що хакери використали атаку типу «дефейс», за якої головна сторінка вебсайту замінюється на іншу, а доступ до решти сайту блокується або ж колишній вміст сайту видаляється.

Зокрема, зловмисники на деяких сайтах повністю замінили головну сторінку, а в код сайту додавали скрипт, що заміняє контент. Для цього зранку 14 січня з мережі TOR вони отримали доступ до панелей керування сайтів низки організацій. При цьому ознаки підбору автентифікаційних даних відсутні.

Під час розслідування фахівці виявили підозрілу активність з низки IP-адрес, а в облікових записах — копії веб-каталогів, з яких могли завантажувати інші файли.

• У ніч із 13 на 14 січня невідомі хакери зламали сайти українських міністерств і державних структур. На них вони залишили повідомлення російською, українською і польською мовами про нібито злив особистих даних у мережу. Не працювали сайти кількох міністерств — освіти і науки, закордонних справ, аграрної політики, а також Державної служби з надзвичайних ситуацій, Нацполіції, «Дії» та інші.
• Від кібератаки також постраждав сайт мера Києва. Він упевнений, що це зробила Росія. Центр стратегічних комунікацій також вважає, що за атакою може стояти Росія. Метою атаки там назвали дестабілізацію внутрішньої ситуації. Причиною вважають нещодавню поразку Росії на переговорах про майбутню співпрацю України з НАТО.
• Державна служба спеціального звʼязку і захисту інформації заявила, що витоку даних не сталося.
• США, НАТО і Євросоюз засудили атаку та заявили, що надають техпідтримку Україні.