В Госспецсвязи отметили, что для нарушения работы систем злоумышленники произвели шифрование или удаление данных либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ.
Первая из них – BootPatch, выполняющая запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации, обеспечивающая отображение сообщения о выкупе и искажающая данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением. Вторая – WhisperKill, выполняющая перезапись файлов по определенному списку расширений.
По предварительным данным, кибератаку выполнили путем компрометации цепи поставщиков, что позволило использовать существующие доверительные связи для выведения из строя связанных систем. Кибератака планировалась заранее и производилась в несколько этапов, в том числе с применением элементов провокации.
Правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется или прежнее содержимое сайта удаляется. Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента.
Контекст
В ночь на 14 января хакеры взломали ряд украинских правительственных сайтов. Они разместили угрожающие сообщения на украинском, русском и польском языках и перечеркнутые изображения герба, флага и карты Украины, а также профиля свиньи. В текстах были ошибки, изображение герба искажено, а сообщение на польском написано так, словно для его создания использовали плохой переводчик, обратили внимание СМИ.
В Госспецсвязи говорят, что эта атака – самая мощная за последние четыре года. В результате ее пострадали около 70 сайтов украинских госструктур как регионального, так и общенационального уровня. Не работали сайты ряда министерств, портал судебной власти Украины, Единый реестр судебных решений и сайт Верховного Суда. К вечеру 14 января около 90% сайтов возобновили работу, сообщили в Офисе президента.
В МИД Украины намекнули на российский след взлома. Связь атаки с Россией допускают также в Центре стратегических коммуникаций при Министерстве культуры и информационной политики. В причастности РФ к инциденту не сомневается секретарь Совета национальной безопасности и обороны Украины Алексей Данилов. Его заместитель Сергей Демедюк считает, что кибератака может быть связана со спецслужбами Беларуси.
СБУ расследует причастность спецслужб РФ к произошедшему.
Верховный представитель Евросоюза по иностранным делам и политике безопасности Жозеп Боррель сказал, что ЕС "мобилизует все ресурсы", чтобы помочь Украине, а генеральный секретарь НАТО Йенс Столтенберг анонсировал подписание между Украиной и Альянсом соглашения об усилении киберсотрудничества.
В министерстве иностранных дел Польши осудили атаку, а публикацию сообщения на польском языке расценили как очередную попытку дестабилизировать польско-украинские отношения.
Глава Госспецсвязи Юрий Щиголь сообщил 24 января, что никакая чувствительная информация в результате кибератаки на украинские сайты госвласти утеряна не была, а от атаки пострадали 22 сайта, шести из которых был нанесен значительный вред.
+3 Киев
