Продолжается расследование кибератаки на государственные информационные ресурсы, которая произошла в ночь с 13 на 14 января 2022 года. По данным подразделения Госспецсвязи, для удаления данных хакеры использовали два типа программ. В настоящее время продолжается анализ данных и исследование обстоятельств киберинцидентов.
Об этом KV стало известно из сообщения Госспецсвязи.
Сообщается, что правительственная команда реагирования на чрезвычайные события Украины CERT-UA приняла меры по сбору цифровых доказательств, изучению образцов вредоносных программ и проведению компьютерно-технических исследований, в том числе – восстановление информации после ее умышленного уничтожения.
“По имеющимся данным, упомянутая кибератака планировалась заранее и проводилась в несколько этапов, в том числе с применением элементов провокации”, – сказано в сообщении.
Отмечается, что было выявлено два типа атаки:
-
полная замена главной страницы;
-
в код вебсайта добавлен скрипт, производящий замену контента.
С этой целью злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций.
“В целях модификации содержимого веб-страниц злоумышленники утром 14.01.2022 из сети TOR получили доступ к панелям управления вебсайтов ряда организаций. При этом признаки подбора аутентификационных данных отсутствуют”, – сказано в сообщении.
Пример дефейса вебсайта
Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Отмечается, что для удаления данных использовались следующие разновидности программ:
- BootPatch – программа выполняет запись вредоносного кода MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill– выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
В CERT-UA отметили, что наиболее вероятным вектором реализации кибератаки является компрометация цепи поставщиков (Supply chain). Это позволило хакерам использовать доверительные связи для выведения из строя связанных информационно-телекоммуникационных и автоматизированных систем.
Также не исключаются еще два возможных вектора атаки, а именно эксплуатация уязвимостей OctoberCMS и Log4j. Отмечается, что в настоящее время продолжается анализ данных и исследование обстоятельств киберинцидентов.
Ранее СМИ сообщали, что по данным пользователей соцсетей на форуме RaidForums продают 13,5 миллиона личных записей украинцев украденных из “Дии”. В частности в базе, выставленной на продажу, были опубликованы скриншоты документов, в том числе паспортов и водительских удостоверений. Появившиеся на форуме данные актуальны на декабрь 2021 года.
В свою очередь портал “Дия” сообщил, что приложение не хранит персональные данные пользователей, а только отражает то, что хранится о них в соответствующих государственных реестрах.
“Все персональные данные находятся под надежной защитой в госреестрах. А объявление о возможности купить данные, полученные после взлома 14 января, является аферой: мошенники продают старые данные, скомплектованные из многих источников, слитых до 2019 года”, – сказано в сообщении.
В то же время пользователи соцсети в комментариях заявили о сливе актуальной информации из баз данных “Дии”.
Как писала KV, Украине в ночь с 13 на 14 января произошла глобальная хакерская атака на сайты правительства. Атаке подверглись сайты Кабмина, Министерства иностранных дел, Государственной службы по чрезвычайным ситуациям, Минобразования, Минспорта, Минэнерго, Минагрополитики.
Читайте: В Украине ночью произошла атака хакеров на правительственные сайты
Жозеп Боррель, верховный представитель ЕС по иностранным делам, осудил атаки на украинские сайты и заявил, что Евросоюз готов помочь Украине защититься: “Мы планируем мобилизовать все наши ресурсы, чтобы помочь Украине справиться с этой атакой. К сожалению, мы знали, что это может произойти”.
Представитель МЗС заявил информагентству Reuters, что еще рано говорить о том, кто может стоять за сегодняшней атакой, но отметил, что Россия стояла за подобными хакерскими нападениями раньше.
Фото: открытые источники
