Во время кибератаки на украинские правительственные сайты, которая произошла в ночь на 14 января, хакеры использовали для уничтожения данных минимум две вредоносные программы.
Об этом сообщила пресс-служба Госспецсвязи.
В результате расследования специалисты пришли к выводу, что для нарушения работы систем злоумышленники шифровали или удаляли данные вручную (путем удаления виртуальных машин) или с применением по меньшей мере двух разновидностей вредоносных программ:
- BootPatch: программа выполняет запись вредоносного кода MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение уведомления о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill: выполняет перезаписи файлов по заданному списку расширений последовательностью байт 0xCC длиной 1МБ.
Вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain), считают в Госспецсвязи. Это позволило использовать имеющиеся доверительные связи вывода из строя связанных систем. Впрочем, существует еще два возможных вектора атаки: эксплуатация уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, кибератаку планировали заранее и проводили в несколько этапов, в том числе с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, когда главная страница заменяется на другую, а доступ к остальному сайту блокируется, или прежнее содержимое сайта удаляется.
Таких атак обнаружили две: главную страницу или полностью заменяли, или в код сайта добавляли скрипт, который осуществлял замену контента. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также во время изучения скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило идентифицировать копию веб-каталога за 14 января, с которого, вероятно, были загружены другие файлы в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.] 42, который касался аналогичной активности в двух других пострадавших организациях.
Напомним, вчера хакеры атаковали официальный сайт Украины.
Также мы писали о том, что хакер выставил на продажу персональные данные миллионов украинцев и заявил, что они получены из "Дии".