Хакерская атака на Украину: госданные могли превратиться в мусор

Масштабная кибератака на более чем 70 государственных ресурсов Украины 14 января не была условно «безвредным» дефейсом, когда взломщики получили доступ к панелям управления сайтами, разместили свое хакерское сообщение, и на этом якобы все: администраторы пришли и вернули контент сайта обратно.

Вернее, дефейс (мелкое хулиганство в хакерском мире) таки действительно был, так как большинство сайтов через несколько часов вернулись к жизни. Но он просто отвлекал внимание от более разрушительных действий хакеров, скорее всего, происходивших параллельно.

Старая версия

Версия, которая озвучивалась киберэкспертами в пятницу — атака базировалась на простейшей уязвимости в CMS (Content Management System). Это система управления контентом на сайте, которая называется OctoberCMS. О ней было известно еще с мая. Но госведомства не провели своевременного обновления, чем и воспользовались хакеры, произведя дефейс-атаку. Украинский центр реагирования на киберугрозы опубликовал инструкцию, как госсайтам быстро устранить последствия OctoberCMS.

Но о том, что проблема гораздо серьезнее, лишь через день впервые заявил заместитель секретаря Совета национальной безопасности и обороны (СНБО) Сергей Демедюк. В интервью агентству Reuters в субботу, 15 января, он рассказал, что за атакой стояла группа UNC1151, действия которой были «лишь прикрытием для более разрушительных действий, которые происходили за кулисами и последствия которых» Украина ощутит в ближайшее время.

Вторая версия

Появилась и еще одна версия того, как проходила атака. Она отличается от той, которую транслировали в Госспецсвязи — атака на систему управления контентом.

Как написали на страничке Facebook Минцифры, можно с большой вероятностью утверждать, что произошла так называемая supply chain attack — атака через цепочку поставок.

«Злоумышленники сломали инфраструктуру коммерческой компании, которая имела доступ с правами администрирования к пострадавшим в результате атаки веб-ресурсам», — сообщила Минцифры.

В какой компании была дыра

Коммерческая компания, через админправа которой хакеры залезли на госресурсы, не раскрывается.

Но примечательно, что до сих пор лежит сайт IT-компании, которая создавала сайты для госорганов — Kitsoft.

«Очевидно, что атака носила комплексный, сложный характер и несколько векторов развития сценариев. В настоящее время наши специалисты зафиксировали, что пострадали не только сайты, разработанные компанией Kitsoft, но и другие:

https://check.gov.ua/, https://court.gov.ua/, https://www.dsns .gov.ua/, https://e-driver.hsc.gov.ua/, https://e-journal.iea.gov.ua/, http://gov.ua/, https://mail .gov.ua/, https://www.minregion.gov.ua/», — сказано в сообщении, на ее Facebook-странице.

Последствия, которые пока видны

До сих пор не открывается стартовая портала diia.gov.ua. Идет переадресация на каталог услуг.

В гораздо более плачевной ситуации — база МТСБУ. Как написал сооснователь monobank Олег Гороховский на своем tg-канале, ходят слухи о том, что ее база уничтожена хакерами.

«Ходят упорные слухи, что базы МТСБУ уничтожены хакерами и характер сбоя вызывает тревогу о том, что слухи обоснованы», — отмечает он.

Страховые компании отмечают, что автоцивилку сейчас невозможно купить в электронном виде, а также проверить ее валидность. В самом бюро подтверждают факт хакерской атаки и добавляют, что пока договора по автоцивилке можно заключать только в бумажной форме.

Хактивисты в субботу начинают намекать, что произошло что-то более серьезное. Председатель наблюдательного совета Octava Capital Александр Кардаков подтверждает dev.ua, что основная атака хакеров была на уничтожение госданных без возможности их восстановления.

Правда пока не известен весь список пострадавших.

Кардаков говорит, что данные есть, но до официально расследования он не может их разглашать.

Представители Минцифры тоже не отвечают.

Первое расследование Microsoft

Немного света проливает Microsoft в своем свежем расследовании украинского инцидента.

Microsoft называет атаку DEV-0586. Считает, что она не имеет связи с известными активностями хакеров. То есть, это совершенно новый инструмент.

Что еще обнаружил Microsoft:

1. Вредоносное ПО выглядит как программа вымогатель. Но им не является.

Она оставляет жертве сообщение с требованием перечислить на биткоин-кошелек $10 000 за разблокировку:

Хакерская атака на Украину: госданные могли превратиться в мусор

Но параллельно в Microsoft пишут, что вирус не содержит в себе механизма разблокировки. То есть, если госведомство переведет деньги на указанный счет, точно ничего не произойдет.

2. Зловредная программа просто «перетирает» файловую систему жертвы, превращая ее файлы в мусор.

Вот расширения файлов, которые уничтожает зловред:

Хакерская атака на Украину: госданные могли превратиться в мусор

Иными словами, это практически любой файл, который содержится в базе данных жертвы.

Таким образом, украина имеет дело с очень серьезной атакой, последствия которой еще не ясны до конца. И очевидно, что на следующей неделе мы узнаем гораздо больше новостей — что еще сломано.

Есть ли связь

Примечательно, что практически параллельно с атакой псевдошифровальщика файлов (а на самом деле уничтожителя файлов) в Украине, в России ФСБ проводила масштабную операцию по задержанию членов группировки REvil, одной из крупнейших группировок-шифровальщиков в мире.

Добавить комментарий