Держспецзв’язку опублікувала частину розслідування кібератаки на урядові сайти 14 січня
Держспецзв'язку опублікувала частину розслідування кібератаки на урядові сайти 14 січня, у якому йдеться про те, що для знищення даних використовували щонайменше дві програми
Про це повідомила пресслужба Держспецзв'язку, пише УП.
Служба підтвердила, що для порушення роботи систем зловмисники здійснили шифрування або видалення даних з застосуванням щонайменше двох різновидів шкідливих програм:
BootPatch: програма виконує запис шкідливого коду в MBR жорсткого диску з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп та спотворює дані, перезаписуючи кожен 199 сектор жорсткого диску відповідним повідомленням.
WhisperKill: виконує перезапис файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ.
За наявними даними, згадана кібератака планувалася заздалегідь і проводилася у кілька етапів, в т. ч. із застосуванням елементів провокації.
Переважно урядові сайти зазнали дефейсу, за якого головна сторінка замінюється на іншу, а доступ до всього іншого сайту блокується, або ж колишній вміст сайту видаляється.
Таких атак виявили дві: головну сторінку або повністю замінювали, або у код сайту додавали скрипт, який вже здійснював заміну контенту.
З цією метою зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей керування вебсайтів низки організацій.
Додаткове вивчення виявленої IP-адреси 179.43.176[.]38 дозволило Службі ідентифікувати копію вебкаталогу на 14 січня, з якого, ймовірно, здійснювалося завантаження інших файлів в рамках кібератаки.
Довідка.
У ніч проти 14 січня хакери масово атакували українські урядові сайти, зокрема вебресурси МОН, МЗС, Мінмолодьспорту, Міненерго, Мінагрополітики, Мінветеранів, Мінекології, ДСНС та Держказначейства, а також портал "Дія".
За інформацією СБУ, загалом було атаковано понад 70 державних вебсайтів, 10 з яких зазнали несанкціонованого втручання. Контент сайтів при цьому змінено не було, а витоку персональних даних не відбулося.
Віцепрем'єр-міністр – міністр цифрової трансформації Михайло Федоров заявив, що серед причин кібернападу на Україну – отримання доступу до адмінправ компанії, яка адмініструє атаковані державні сайти.
