Під час кібератак на держсайти використовували дві програми
Автор: Елена Костюкова
Дата публікації: 26/01/22 | 11:00
Теги: кібератака, держспецзв'язок,
Категорія: Украина
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain), заявили у Держспецзв'язку.
Під час кібератаки на урядові сайти для знищення даних використовували щонайменше дві програми. Про це повідомляє Держспецзв'язку в середу, 26 січня.
Як встановила служба, для порушення роботи систем зловмисники шифрували або видаляли дані: або вручну (шляхом видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм:
- BootPatch: програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.
- WhisperKill: виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дозволило використовувати існуючі довірчі зв'язки виведення з ладу пов'язаних систем.
Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки - експлуатація вразливостей OctoberCMS і Log4j.
Згідно з наявними даними, згадана кібератака планувалася заздалегідь і проводилася в кілька етапів, у т.ч. із застосуванням елементів провокації.
Переважно урядові сайти випробували дефейс, коли головна сторінка замінюється на іншу, а доступ до решти сайту блокується, або колишній вміст сайту видаляється. Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайту додавали скрипт, що вже здійснював заміну контенту. Для цього зловмисники зранку 14 січня з мережі TOR отримали доступ до панелей управління веб-сайтів низки організацій. Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.
Крім того, додаткове вивчення виявленої IP-адреси 179.43.176[.]38 дозволило Службі ідентифікувати копію веб-каталогу за 14 січня, з якого, ймовірно, було завантажено інші файли в рамках кібератаки. Центр кіберзахисту виявив додаткову IP-адресу 179.43.176[.]42, що стосувалося аналогічної активності у двох інших постраждалих організаціях.
| 
|