Під час кібератаки на держсайти України для знищення даних використали дві програми – Держспецзв'язку

Хакери під час атаки на держсайти використовували програми BootPatch та WhisperKill

Фото: depositphotos.com

Під час кібернетичної атаки на українські сайти державної влади, яка сталася 14 січня, для знищення даних було використано щонайменше дві програми. Про це 26 січня повідомила пресслужба Державної служби спеціального зв'язку та захисту інформації України (Держспецзв'язку).

У Держспецзв'язку зазначили, що для порушення роботи систем зловмисники здійснили шифрування чи видалення даних або вручну (через видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм.

Перша з них – BootPatch, яка виконує запис шкідливого коду у MBR жорсткого диска з метою його незворотної модифікації, забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням. Друга – WhisperKill – виконує перезапис файлів за певним списком розширень.

За попередніми даними, кібератаку здійснили через компрометації ланцюга постачальників, що дало змогу використати наявні довірчі зв'язки для виведення з ладу пов'язаних систем. Кібератаку планували заздалегідь, її проводили за кілька етапів, зокрема із застосуванням елементів провокації.

Урядові сайти зазнали дефейсу, за якого головну сторінку замінюють на іншу, а доступ до решти сайта блокують або попередній вміст сайта видаляють. Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайта додавали скрипт, що вже здійснював заміну контенту.

Контекст:

У ніч на 14 січня хакери зламали низку українських урядових сайтів. Вони розмістили повідомлення з погрозами українською, російською та польською мовами і перекреслені зображення герба, прапора та карти України, а також профілю свині. У текстах були помилки, зображення герба спотворено, а повідомлення польською написано так, ніби для його створення використали поганий перекладач, звернули увагу ЗМІ.

У Держспецзв'язку кажуть, що ця атака – найпотужніша за останні чотири роки. Унаслідок неї постраждало приблизно 70 сайтів українських держструктур як регіонального, так і загальнонаціонального рівня. Не працювали сайти низки міністерств, портал судової влади України, Єдиний реєстр судових рішень та сайт Верховного Суду. Надвечір 14 січня приблизно 90% сайтів відновили роботу, повідомили в Офісі президента.

У МЗС України натякнули на російський слід зламу. Зв'язок атак із Росією припускають також у Центрі стратегічних комунікацій при Міністерстві культури та інформаційної політики. У причетності РФ до інциденту не сумнівається секретар Ради національної безпеки і оборони України Олексій Данілов. Його заступник Сергій Демедюк вважає, що кібератака може бути пов'язана зі спецслужбами Білорусі.

СБУ розслідує причетність спецслужб РФ до того, що сталося.

Верховний представник Євросоюзу з питань закордонних справ та політики безпеки Жозеп Боррель сказав, що ЄС "мобілізує всі ресурси", щоб допомогти Україні, а генеральний секретар НАТО Єнс Столтенберг анонсував підписання між Україною та Альянсом угоди про посилення кіберспівпраці.

У міністерстві закордонних справ Польщі засудили атаку, а публікацію повідомлення польською мовою розцінили як чергову спробу дестабілізувати польсько-українські відносини.

Голова Держспецзв'язку Юрій Щиголь повідомив 24 січня, що жодної чутливої інформації внаслідок кібератаки на українські сайти держвлади втрачено не було, а від атаки постраждало 22 сайти, шести з яких було завдано значної шкоди.