Під час кібератаки на держсайти України хакери використали дві програми

Під час кібератаки на українські урядові сайти для знищення даних хакери використали щонайменше дві програми.

Повідомляє TrueUA, з посиланням на Держспецзв'язок.

За даними аналізу служби, для порушення роботи систем зловмисники шифрували або видаляли дані вручну (за допомогою видалення віртуальних машин) чи із застосуванням щонайменше двох різновидів шкідливих програм:

– BootPatch: програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.

– WhisperKill: виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.

Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дало змогу використовувати наявні довірчі зв'язки виведення з ладу пов'язаних систем.

Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки: експлуатація вразливостей OctoberCMS і Log4j.

Згідно з наявними даними, кібератаку планували заздалегідь і проводили у кілька етапів, зокрема із застосуванням елементів провокації.

Атака, яку застосували зловмисники, має тип “дефейс” (від англ. deface – спотворювати, перекручувати), під час якої головну сторінку вебсайту замінюють на іншу, а доступ до всього іншого сайту блокують або ж попередній вміст сайту видаляють.

Виявлено два типи атаки дефейс:

-повна заміна головної сторінки;

-у код вебсайту додано скрипт, що здійснює заміну контенту.

З метою модифікації вмісту вебсторінок зловмисники зранку 14 січня з мережі TOR дістали доступ до панелей керування вебсайтів низки організацій. 

Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.

Фото з мережі інтернет.

Також читайте: В агентстві туризму назвали найпопулярніші джерела за через які українці планують поїздки