Розслідування кібератаки. Зафіксували дві хакерські програми
У Держспецзв'язку повідомили про нові дані розслідування щодо кібератаки на українські урядові мережі 13 та 14 січня 2022 року. Про це повідомляється на сайті відомства.
Встановлено, що хакери вдавалися до шифрування або видалення даних. Для цього застосовано щонайменше два різновиди шкідливих програм деструктивного характеру, BootPatch та WhisperKill. Або ж ці дані видалялися вручну.
BootPatch здійснює запис шкідливого коду в MBR жорсткого диску з метою його незворотної модифікації.
WhisperKill потрібна для перезапису файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ.
Дії зламувачів були націдені на ланцюг постачальників supply chain, що забезпечило виведення з ладу пов’язаних систем.
Водночас не відкидаються ще два можливих вектори атаки, а саме – експлуатація вразливостей OctoberCMS та Log4j.
Як повідомляється, урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зібрала докази та відновила дані.
Встановлено, що кібератаку планували заздалегідь і проводили у кілька етапів, вдаючись до провокації.
Розслідування триває.
Нагадаємо, внаслідок кібератаки постраждали 22 сайти органів державної влади. 6 сайтів зазнали «значної шкоди», 70 — відключили за вказівкою Держспецзв’язку та Служби безпеки України.
Наступного дня після атаки, 15 січня, корпорація Microsoft повідомила про виявивлення шкідливого програмного забезпечення, що його застосували до жорстких дисків на обладнанні урядових структур.
Пізніше Держспецзв’язку підтвердила версію Microsoft щодо використання вайпера, програми для знищення даних WhisperGate, під час кібератаки на українські урядові мережі.
17 січня відновили роботу майже всі сайти, які постраждали під час кібератаки 14 січня.
Міністр внутрішніх справ України Денис Монастирський повідомив, що кібератаку на українські урядові мережі спланували та провели спецслужби Росії.
Сайти українського уряду розробляла приватна київська ІТ-компанія Kitsoft (ТОВ «Комп'ютерні інформаційні технології»), через яку, найімовірніше, і здійснили централізовану кібератаку.
Фото: фейсбук-сторінка Держспецзв'язку