Під час кібератаки на українські урядові сайти для знищення даних хакери використали щонайменше дві програми.
Повідомляє TrueUA, з посиланням на Держспецзв'язок.
За даними аналізу служби, для порушення роботи систем зловмисники шифрували або видаляли дані вручну (за допомогою видалення віртуальних машин) чи із застосуванням щонайменше двох різновидів шкідливих програм:
– BootPatch: програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.
– WhisperKill: виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дало змогу використовувати наявні довірчі зв'язки виведення з ладу пов'язаних систем.
Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки: експлуатація вразливостей OctoberCMS і Log4j.
Згідно з наявними даними, кібератаку планували заздалегідь і проводили у кілька етапів, зокрема із застосуванням елементів провокації.
Атака, яку застосували зловмисники, має тип “дефейс” (від англ. deface – спотворювати, перекручувати), під час якої головну сторінку вебсайту замінюють на іншу, а доступ до всього іншого сайту блокують або ж попередній вміст сайту видаляють.
Виявлено два типи атаки дефейс:
-повна заміна головної сторінки;
-у код вебсайту додано скрипт, що здійснює заміну контенту.
З метою модифікації вмісту вебсторінок зловмисники зранку 14 січня з мережі TOR дістали доступ до панелей керування вебсайтів низки організацій.
Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.
Фото з мережі інтернет.
Також читайте: В агентстві туризму назвали найпопулярніші джерела за через які українці планують поїздки
