Фото: Spiegel
Кибератака на правительственные веб-сайты: использовались две программы
Скорее всего, кибератака была осуществлена путем компрометации цепочки поставок, сообщила Государственная служба связи.
По меньшей мере две программы были использованы для уничтожения данных во время кибератаки на правительственные веб-сайты. Об этом сообщила Госспецсвязь в среду, 26 января.
Как установила служба, чтобы нарушить работу систем, злоумышленники зашифровали или удалили данные: либо вручную (путем удаления виртуальных машин), либо с использованием как минимум двух типов вредоносных программ:
В то же время, скорее всего, кибератака была осуществлена путем компрометации цепочки поставок. Это позволило использовать существующие доверительные отношения для отключения подключенных систем.
Госспецсвязи по-прежнему не отвергает еще два возможных вектора атак - эксплуатацию уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, упомянутая кибератака была спланирована заранее и проведена в несколько этапов, в том числе с использованием элементов провокации.
В основном правительственные веб-сайты подверглись повреждению, при котором главная страница заменяется другой, а доступ к остальной части сайта блокируется или предыдущее содержимое сайта удаляется. Были обнаружены две такие атаки: главная страница была либо полностью заменена, либо в код сайта был добавлен скрипт, который уже заменил контент. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтами ряда организаций. Также в ходе расследования скомпрометированных систем была обнаружена подозрительная активность с использованием законных учетных записей.
Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176 [.]38 Позволило Сервису идентифицировать копию веб-каталога 14 января, из которого, вероятно, были загружены другие файлы в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176 [.]42, Который относился к аналогичной деятельности в двух других пострадавших организациях.
Напомним, что в ночь на 14 января в Украине была осуществлена кибератака, в результате которой вышло из строя около 70 правительственных и региональных сайтов. Эксперты изначально предполагали, что речь идет о киберпреступниках из Российской Федерации. Цель хакеров - дестабилизировать внутреннюю ситуацию в стране, посеять хаос и уныние в обществе. Однако позже заместитель секретаря СНБО Сергей Демедюк заявил, что за кибератакой могла стоять хакерская группа UNC1151, связанная с белорусской разведкой.