xcounter
Calendar Icon

Кибератака на госсайты Украины: хакеры использовали две программы

При кибератаке на правительственные сайты для уничтожения данных использовали по меньшей мере две программы. Об этом сообщает Госспецсвязи.

Как установила служба, для нарушения работы систем злоумышленники произвели шифрование или удаление данных: либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ:

  • BootPatch: приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
  • WhisperKill: выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.

При этом вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем.

Госспецсвязи все же не отбрасывает еще два возможных вектора атаки - эксплуатация уязвимостей OctoberCMS и Log4j.

Согласно имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.

Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется. Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.

Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.]42, что касалось аналогичной активности в двух других пострадавших организациях.

Темы публикации:
Лучшие криптовалютные биржи 2021 года для начинающих трейдеров

Лучшие криптовалютные биржи 2021 года для начинающих трейдеров

Популярные видео на YouTUBE
Материалы по теме
Binance
А-9834,58 грн./литр
А-95+31,39 грн./литр
А-9529,72 грн./литр
А-9228,7 грн./литр
ДТ28,44 грн./литр
LPG15,83 грн./литр
Это интересно
Самые читаемые новости
Лучшие видео с YouTUBE
Популярные блоги
Погода и гороскоп
Автоновости