Кибератака на госсайты Украины: хакеры использовали две программы
При кибератаке на правительственные сайты для уничтожения данных использовали по меньшей мере две программы. Об этом сообщает Госспецсвязи.
Как установила служба, для нарушения работы систем злоумышленники произвели шифрование или удаление данных: либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ:
- BootPatch: приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill: выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
При этом вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем.
Госспецсвязи все же не отбрасывает еще два возможных вектора атаки - эксплуатация уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется. Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.]42, что касалось аналогичной активности в двух других пострадавших организациях.
"Айдар" взяв у полон групу окупантів біля Часового Яру (відео)
У Рубіжному зробили туалет із російських ящиків для снарядів (відео)
Кадиров після повідомлень про хворобу терміново показав відео свого тренування (відео)
У цирку Запоріжжя ведмідь напав на дресирувальника (відео)
Єдиний українець у найсильнішій волейбольній лізі Олег Плотницький переможно зіграв першу гру італійської ліги (відео)
Австралієць зробив із гігантського гарбуза човен (відео)
СОНЯ СОТНИК про шлюб за добу, чоловіка на фронті, майбутнє Вакарчука й Пивоварова, і де зараз Кузін
Слон втік із цирку і ходив вулицями міста в США (відео)
