У Держспецзв'язку зазначили, що для порушення роботи систем зловмисники здійснили шифрування чи видалення даних або вручну (через видалення віртуальних машин), або із застосуванням щонайменше двох різновидів шкідливих програм.
Перша з них – BootPatch, яка виконує запис шкідливого коду у MBR жорсткого диска з метою його незворотної модифікації, забезпечує відображення повідомлення про викуп і спотворює дані, перезаписуючи кожен сектор жорсткого диска відповідним повідомленням. Друга – WhisperKill – виконує перезапис файлів за певним списком розширень.
За попередніми даними, кібератаку здійснили через компрометації ланцюга постачальників, що дало змогу використати наявні довірчі зв'язки для виведення з ладу пов'язаних систем. Кібератаку планували заздалегідь, її проводили за кілька етапів, зокрема із застосуванням елементів провокації.
Урядові сайти зазнали дефейсу, за якого головну сторінку замінюють на іншу, а доступ до решти сайта блокують або попередній вміст сайта видаляють. Таких атак виявили дві: головну сторінку або повністю замінювали, або в код сайта додавали скрипт, що вже здійснював заміну контенту.
Контекст
У ніч на 14 січня хакери зламали низку українських урядових сайтів. Вони розмістили повідомлення з погрозами українською, російською та польською мовами і перекреслені зображення герба, прапора та карти України, а також профілю свині. У текстах були помилки, зображення герба спотворено, а повідомлення польською написано так, ніби для його створення використали поганий перекладач, звернули увагу ЗМІ.
У Держспецзв'язку кажуть, що ця атака – найпотужніша за останні чотири роки. Унаслідок неї постраждало приблизно 70 сайтів українських держструктур як регіонального, так і загальнонаціонального рівня. Не працювали сайти низки міністерств, портал судової влади України, Єдиний реєстр судових рішень та сайт Верховного Суду. Надвечір 14 січня приблизно 90% сайтів відновили роботу, повідомили в Офісі президента.
У МЗС України натякнули на російський слід зламу. Зв'язок атак із Росією припускають також у Центрі стратегічних комунікацій при Міністерстві культури та інформаційної політики. У причетності РФ до інциденту не сумнівається секретар Ради національної безпеки і оборони України Олексій Данілов. Його заступник Сергій Демедюк вважає, що кібератака може бути пов'язана зі спецслужбами Білорусі.
СБУ розслідує причетність спецслужб РФ до того, що сталося.
Верховний представник Євросоюзу з питань закордонних справ та політики безпеки Жозеп Боррель сказав, що ЄС "мобілізує всі ресурси", щоб допомогти Україні, а генеральний секретар НАТО Єнс Столтенберг анонсував підписання між Україною та Альянсом угоди про посилення кіберспівпраці.
У міністерстві закордонних справ Польщі засудили атаку, а публікацію повідомлення польською мовою розцінили як чергову спробу дестабілізувати польсько-українські відносини.
Голова Держспецзв'язку Юрій Щиголь повідомив 24 січня, що жодної чутливої інформації внаслідок кібератаки на українські сайти держвлади втрачено не було, а від атаки постраждало 22 сайти, шести з яких було завдано значної шкоди.
+11 Київ
