Новости

В Госспецсвязи обнародовали детали расследования кибератаки на правительственные сайты в Украине

Автор:
Екатерина Кадакова
Дата:

Pixabay

Государственная служба специальной связи и защиты информации опубликовала фрагмент расследования кибератаки на правительственные сайты в ночь на 14 января.

Как отмечает Госспецсвязи, для шифрования или удаления данных хакеры использовали по меньшей мере две программы:

Также специалисты не исключают вероятность уничтожения данных в результате ручного удаления виртуальных машин.

В то же время в Госспецсвязи рассказали, что, вероятнее всего, атаку совершили, скомпрометировав цепь поставщиков (supply chain). Это позволило вывести из строя связанные системы. Также злоумышленники могли использовать уязвимости OctoberCMS и Log4j.

По данным Госспецсвязи, кибератака планировалась заранее и проводилась в несколько этапов, в том числе злоумышленники прибегли к провокации.

Также отмечается, что хакеры использовали атаку типа «дефейс», во время которой главная страница веб-сайта заменяется на другую, а доступ ко всему остальному сайту блокируется или же прежнее содержимое сайта удаляется.

В частности, злоумышленники на некоторых сайтах полностью заменили главную страницу, а в код веб-сайта добавляли заменяющий контент скрипт. Для этого утром 14 января из сети TOR они получили доступ к панелям управления веб-сайтов ряда организаций. При этом признаки подбора аутентификационных данных отсутствуют.

В ходе расследования специалисты обнаружили подозрительную активность с ряда IP-адресов, а в учетных данных — копии веб-каталогов, из которых могли загружать другие файлы.