В Госспецсвязи обнародовали детали расследования кибератаки на правительственные сайты в Украине

Государственная служба специальной связи и защиты информации опубликовала фрагмент расследования кибератаки на правительственные сайты в ночь на 14 января.

Как отмечает Госспецсвязи, для шифрования или удаления данных хакеры использовали по меньшей мере две программы:

• BootPatch (запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации);
• WhisperKill (перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ).

Также специалисты не исключают вероятность уничтожения данных в результате ручного удаления виртуальных машин.

В то же время в Госспецсвязи рассказали, что, вероятнее всего, атаку совершили, скомпрометировав цепь поставщиков (supply chain). Это позволило вывести из строя связанные системы. Также злоумышленники могли использовать уязвимости OctoberCMS и Log4j.

По данным Госспецсвязи, кибератака планировалась заранее и проводилась в несколько этапов, в том числе злоумышленники прибегли к провокации.

Также отмечается, что хакеры использовали атаку типа «дефейс», во время которой главная страница веб-сайта заменяется на другую, а доступ ко всему остальному сайту блокируется или же прежнее содержимое сайта удаляется.

В частности, злоумышленники на некоторых сайтах полностью заменили главную страницу, а в код веб-сайта добавляли заменяющий контент скрипт. Для этого утром 14 января из сети TOR они получили доступ к панелям управления веб-сайтов ряда организаций. При этом признаки подбора аутентификационных данных отсутствуют.

В ходе расследования специалисты обнаружили подозрительную активность с ряда IP-адресов, а в учетных данных — копии веб-каталогов, из которых могли загружать другие файлы.

• В ночь с 13 на 14 января неизвестные хакеры взломали сайты украинских министерств и государственных структур. На них они оставили сообщения на русском, украинском и польском языках о якобы сливе личных данных в сеть. Не работали сайты нескольких министерств — образования и науки, иностранных дел, аграрной политики, а также Государственной службы по чрезвычайным ситуациям, Нацполиции, «Дії» и другие.
• От кибератаки также пострадал сайт мэра Киева. Он убежден, что это сделала Россия. Центр стратегических коммуникаций тоже считает, что за атакой может стоять Россия. Целью атаки там назвали дестабилизацию внутренней ситуации. Причиной считают недавнее поражение России на переговорах о предстоящем сотрудничестве Украины с НАТО.
• Государственная служба специальной связи и защиты информации заявила, что утечки данных не произошло.
• США, НАТО и Евросоюз осудили атаку и заявили, что оказывают техподдержку Украине.