"Схоже на програму-вимагач". Microsoft озвучила перші результати аналізу кібератак на сайти в Україні

Надзвичайні події

Центр аналізу загроз Microsoft Threat Intelligence Center (MSTIC) оголосив 15 січня, що кібератаки, яких зазнала низка організацій в Україні, пов'язані зі шкідливим програмним забезпеченням (ПЗ).

"MSTIC виявив докази деструктивної операції шкідливого ПЗ, спрямованого на кілька організацій в Україні. Це шкідливе ПЗ вперше з'явилося на комп'ютерах-жертвах в Україні 13 січня 2022 року", – ідеться в повідомленні.

У Microsoft зазначили, що обізнані "з геополітичними подіями, які відбуваються в Україні та навколишньому регіоні".

"Поки наше розслідування триває, MSTIC не виявив якихось помітних зв'язків між цією активністю, що відстежують як DEV-0586, та іншими відомими групами активності. MSTIC оцінює, що шкідливе ПЗ, яке схоже на програму-вимагач і не має механізму відновлення з метою отримання викупу, призначене для руйнування і для виведення цільових пристроїв із ладу, а не для отримання викупу", – пояснили експерти.

В організації підкреслили, що шкідливе програмне забезпечення виявили "на десятках постраждалих систем, і ця кількість може зрости у процесі продовження розслідування".

"Ці системи охоплюють кілька державних, некомерційних організацій та організацій, які займаються інформаційними технологіями, всі вони базуються в Україні. [...] З огляду на масштаби зафіксованих проникнень, MSTIC не може оцінити мету виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якої державної установи, некомерційної організації або підприємства, які розташовані або мають системи в Україні", – ідеться в повідомленні.

MSTIC рекомендував усім організаціям "негайно провести ретельне розслідування та запровадити засоби захисту".

У Microsoft, зокрема, підкреслили, що програма-вимагач впливає на головний завантажувальний запис (MBR) операційних систем, та озвучили рекомендації, що робити в такому випадку.

Контекст

У ніч на 14 січня хакери зламали низку урядових сайтів. Вони розмістили загрозливі повідомлення українською, російською та польською мовами і перекреслені зображення герба (спотворене), прапора і карти України, а також профілю свині. У текстах були помилки, а повідомлення польською написано так, ніби для його створення використали поганий перекладач, звернули увагу ЗМІ.
У Держспецзв'язку кажуть, що цей злам – найпотужніший за останні чотири роки. Унаслідок атаки постраждало приблизно 70 сайтів українських держструктур як регіонального, так і загальнонаціонального рівня. Не працювали сайти низки міністерств, портал судової влади України, Єдиний реєстр судових рішень та сайт Верховного Суду. Надвечір 14 січня приблизно 90% сайтів відновили роботу, повідомили в Офісі президента.
10 сайтів зазнали вторгнення, але їхнього контенту не змінили, витоку персональних даних не було, портал держпослуг "Дія" вимкнули на вимогу Служби безпеки та Держспецзв'язку, мобільний застосунок працював у звичному режимі, розповів віцепрем'єр-міністр – міністр цифрової трансформації України Михайло Федоров. За його інформацією, метою хакерів було дістати доступ до адмінправ компанії, яка адмініструє атаковані сайти.
У МЗС України зазначили, що висновки робити зарано, але натякнули на російський слід зламу. Зв'язок атаки з Росією допускають також у Центрі стратегічних комунікацій, який працює при Міністерстві культури та інформаційної політики. У причетності РФ до інциденту не сумнівається секретар Ради національної безпеки і оборони України Олексій Данілов.
СБУ розслідує причетність спецслужб РФ до того, що сталося.
Про кібератаку повідомили президента США Джо Байдена. Сполучені Штати стурбовані тим, що сталося, заявили в Білому домі.
Верховний представник Євросоюзу з питань закордонних справ та політики безпеки Жозеп Боррель сказав, що ЄС "мобілізує всі ресурси", щоб допомогти Україні, а генеральний секретар НАТО Єнс Столтенберг анонсував підписання між Україною та Альянсом угоди про посилення кіберспівпраці. Кібератаку засудили у МЗС Німеччини, Молдови, Швеції.
У міністерстві закордонних справ Польщі засудили атаку, а публікацію повідомлення польською мовою розцінили як чергову спробу дестабілізувати польсько-українські відносини.
У Раді національної безпеки і оборони України вважають, що кібератака може бути пов'язаною зі спецслужбами Білорусі.