Госспецсвязи опубликовала часть расследования кибератаки на правительственные сайты 14 января
Госспецсвязи опубликовала часть расследования кибератаки на правительственные сайты 14 января, в котором говорится, что для уничтожения данных использовали по меньшей мере две программы
Об этом сообщила пресс-служба Госспецсвязи, пишет УП.
Служба подтвердила, что для нарушения работы систем злоумышленники провели шифрование или удаление данных с применением по меньшей мере двух разновидностей вредоносных программ:
BootPatch: приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
WhisperKill: выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
По имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется.
Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента.
С этой целью злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций.
Дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках кибератаки.
Справка.
В ночь на 14 января хакеры массово атаковали украинские правительственные сайты, в том числе вебресурсы МОН, МИД, Минмолодежьспорта, Минэнерго, Минагрополитики, Минветеранов, Минэкологии, ГСЧС и Госказначейства, а также портал «Действие».
По информации СБУ, всего было атаковано более 70 государственных вебсайтов, 10 из которых подверглись несанкционированному вмешательству. Контент сайтов при этом изменен не был, а утечки персональных данных не произошло.
Вицепремьер-министр – министр цифровой трансформации Михаил Федоров заявил, что среди причин кибернапада на Украину – получение доступа к админправам компании, которая администрирует атакованные государственные сайты.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
