Деталі
За даними аналізу служби, для порушення роботи систем зловмисники шифрували або видаляли дані вручну (за допомогою видалення віртуальних машин) чи із застосуванням щонайменше двох різновидів шкідливих програм:
– BootPatch: програма виконує запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Вона забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням.
– WhisperKill: виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.
Найімовірніше, кібератаку виконали шляхом компрометації ланцюга постачальників (supply chain). Це дало змогу використовувати наявні довірчі зв'язки виведення з ладу пов'язаних систем.
Держспецзв'язку все ж таки не відкидає ще два можливих вектори атаки: експлуатація вразливостей OctoberCMS і Log4j.
Згідно з наявними даними, кібератаку планували заздалегідь і проводили у кілька етапів, зокрема із застосуванням елементів провокації.
Атака, яку застосували зловмисники, має тип “дефейс” (від англ. deface – спотворювати, перекручувати), під час якої головну сторінку вебсайту замінюють на іншу, а доступ до всього іншого сайту блокують або ж попередній вміст сайту видаляють.
Виявлено два типи атаки дефейс:
- повна заміна головної сторінки;
- у код вебсайту додано скрипт, що здійснює заміну контенту.
З метою модифікації вмісту вебсторінок зловмисники зранку 14 січня з мережі TOR дістали доступ до панелей керування вебсайтів низки організацій.
Також під час вивчення скомпрометованих систем було виявлено підозрілу активність із використанням легітимних акаунтів.
Нагадаємо
У ніч з 13 на 14 січня було здійснено хакерську атаку на низку урядових вебресурсів. Зокрема, не працювали сайти Міністерства закордонних справ, Міненерго, ДСНС, МОН та "Дії".
Зловмисники на головних сторінках цих сайтів розмістили повідомлення провокаційного характеру. Водночас у мережі було поширено заяву нібито від самих хакерів: “Усі ваші особисті дані було завантажено у загальну мережу”.
Роботу більшості атакованих державних ресурсів вже відновили. Контент сайтів залишився без змін, і витоку персональних даних не відбулося.