Кибератака на госсайты Украины: хакеры использовали две программы
При кибератаке на правительственные сайты для уничтожения данных использовали по меньшей мере две программы. Об этом сообщает Госспецсвязи.
Как установила служба, для нарушения работы систем злоумышленники произвели шифрование или удаление данных: либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ:
- BootPatch: приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill: выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
При этом вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем.
Госспецсвязи все же не отбрасывает еще два возможных вектора атаки - эксплуатация уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется. Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.]42, что касалось аналогичной активности в двух других пострадавших организациях.
В Україні відбулися перші зимові перегони бойових роботів: результати та перспективи НРК
Мільярди повз бюджет: на митниці викрили масштабні схеми з імпортом авто
Український «єдиноріг» у сфері DefenseTech: стартап UFORCE досяг капіталізації в $1 млрд
Японія готує збройову революцію: як нова експортна стратегія Токіо допоможе Україні
Вбивство за доступ до криптогаманця: син українського банкіра позбавив життя батька заради 250 тисяч євро
Ультиматум Мерца в Пекіні: Німеччина вимагає від Китаю змінити правила гри
Вбивство Андрія Портнова: у Німеччині затримали підозрюваного з «донецьким» минулим
Родичі Міндіча ЛІТАЛИ ДО МОСКВИ під час війни. Усіх знайшли на одному РЕЙСІ.Діаманти досі ЙДУТЬ в РФ
