У Державній службі спеціального зв'язку та захисту інформації України встановили, що під час кібератаки на українські урядові мережі хакери вдавалися до шифрування або видалення даних. Для цього застосовували щонайменше два різновиди шкідливих програм, зокрема BootPatch та WhisperKill, або видаляли дані «вручну».

Про це йдеться на сайті CERT-UA, що функціонує в складі Держспецзв’язку.

За даними відомства, кібератаку планували заздалегідь і проводили у кілька етапів. Хакери порушили цілісність вебсайтів за допомогою дефейс-атаки, під час якої замінили головні сторінки вебсайтів на інші та додали скрипт, що здійснює заміну контенту. Зловмисники також вивели з ладу електронні обчислювальні машини.

«Найбільш вірогідним вектором реалізації кібератаки є компрометація ланцюга постачальників (supply chain), що дозволило використати наявні довірчі зв’язки для виведення з ладу пов’язаних інформаційно-телекомунікаційних та автоматизованих систем. Водночас не відкидаються ще два можливих вектори атаки, а саме — експлуатація вразливостей OctoberCMS та Log4j», — пояснюють у фрагменті дослідження.

Як пишуть на сайті CERT-UA, програма BootPatch здійснює запис шкідливого коду у жорсткому дисці з метою його незворотної модифікації. Програму WhisperKill використовують для перезапису файлів за зазначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA зібрала докази та відновила дані. Наразі дослідження триває.

Держспецзв’язок опублікував перелік рекомендацій для підвищення безпеки:

• Переглянути порядок підключення співробітників і/або обладнання компаній-постачальників до корпоративних мереж, виходячи з принципу мінімальної достатності привілеїв, фільтрації (ізоляції) інформаційних потоків та безумовної необхідності використання багатофакторної автентифікації.
• Обмежити доступ до засобів адміністрування вебресурсів, зокрема панелей керування CMS, а також серверного обладнання.
• Забезпечити контроль вихідних інформаційних потоків.
• Забезпечити централізоване збирання, оброблення та зберігання (протягом не менше року) журнальних файлів із застосуванням відповідних систем (SIEM).
• Реалізувати та підтримувати в актуальному стані відповідно моделі загроз автоматизований моніторинг подій з метою виявлення аномалій.
• З метою виявлення можливого втручання в роботу інформаційних систем здійснити перевірку мережевої активності та активності на хостах згідно вказаних індикаторів компрометації.

Як повідомлялося раніше, в Україні в ніч з 13 на 14 січня відбулася хакерська атака на сайти уряду і низки міністерств, зокрема Міністерства закордонних справ України, Міністерства освіти і науки України, сайт «Дії» та інші.