Во время кибератаки на украинские правительственные сайты для уничтожения данных хакеры использовали по меньшей мере две программы. Об этом сообщили в Госспецсвязи, информирует УНН.
Детали
По данным анализа службы, для нарушения работы систем злоумышленники шифровали или удаляли данные вручную (путем удаления виртуальных машин) или с применением по меньшей мере двух разновидностей вредоносных программ:
— BootPatch: программа выполняет запись вредоносного кода MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение уведомления о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
— WhisperKill: выполняет перезаписи файлов по заданному списку расширений последовательностью байт 0xCC длиной 1МБ.
Вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать имеющиеся доверительные связи вывода из строя связанных систем.
Госспецсвязь все же не отвергает еще два возможных вектора атаки: эксплуатация уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, кибератаку планировали заранее и проводили в несколько этапов, в том числе с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, когда главная страница заменяется на другую, а доступ к остальному сайту блокируется, или прежнее содержимое сайта удаляется.
Таких атак обнаружили две: главную страницу или полностью заменяли, или в код сайта добавляли скрипт, который уже осуществлял замену контента. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также во время изучения скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило идентифицировать копию веб-каталога за 14 января, с которого, вероятно, были загружены другие файлы в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.] 42, который касался аналогичной активности в двух других пострадавших организациях.
Напомним
В ночь с 13 на 14 января была осуществлена хакерская атака на ряд правительственных веб-ресурсов. В частности, не работали сайты Министерства иностранных дел, Минэнерго, ГСЧС, МОН и «Дии».
Злоумышленники на главных страницах этих сайтов разместили сообщения провокационного характера. В то же время в сети было распространено заявление якобы от самих хакеров: “Все ваши личные данные были загружены в общую сеть”.
Работу большинства атакованных государственных ресурсов уже возобновили. Контент сайтов остался без изменений, и утечки персональных данных не произошло.