Свої дії хакери проводили в декілька етапів і не обмежувалися відключенням сайтів
Під час атаки на українські державні сайти хакери використовували вірус-вайпер WhisperGate. Через нього знищені дані на комп’ютерах двох українських держустанов, проте ці дані — некритичні, повідомляє Ain.ua з посиланням на українські відомства, що розслідують інцидент.
Таку ж версію описує й американська журналістка-розслідувач Кім Зеттер, яка раніше розповіла про вразливість в OctoberCMS, що могла бути використана для атаки.
Наразі вже попередньо відомо — атака була структурованою, проводилася в кілька етапів, і не обмежувалася лише дефейсом (відключенням сайтів). Йдеться про можливість знищення певної інформації на постраждалих комп’ютерах.
Що наразі відомо:
• У Державній службі спеціального зв’язку та захисту інформації, чиї експерти беруть участь у розслідуванні, підтвердили гіпотезу Microsoft про те, що складовою атаки міг бути новий вірус-вайпер WhisperGate (вірус, що винищує дані на комп’ютері-жертві).
Зазначається, що використання програми-вайпера WhisperGate, за класифікацією компанії Microsoft для знищення даних, зафіксоване в кількох установах, що стали жертвами атаки.
“Таким чином, з високою ймовірністю можна стверджувати, що дефейс вебсайтів атакованих держорганів та знищення даних за допомогою вайпера є складовими однієї кібератаки, спрямованої на завдання якомога більшої шкоди інфраструктурі державних електронних ресурсів”, — повідомляє Держспецзв’язку.
• Наступного дня після атаки, 15 січня 2021 року, компанія Microsoft опублікувала детальний звіт про деструктивне програмне забезпечення, спрямоване на організації в Україні, яке вперше виявили 13 січня.
За словами компанії, вірус, попередньо класифікований як DEV-0586, було зроблено так, щоб він нагадував вірус-вимагач, який просить грошей за доступ до заблокованого контенту. “Одначе йому бракує механізму відновлення цього контенту, а отже це скоріше був вірус-вайпер, чия мета — знищення ресурсів постраждалих комп’ютерів”, — йдеться у повідомленні.
• За даними Кім Зеттер, у якої судячи з усього є джерела серед тих, хто розслідує інцидент, WhisperGate знищив дані на семи комп’ютерах однієї з держустанов, що зазнали атаки, а також пошкодив комп’ютери та сервери іншої установи. Сайти обидвох органів також постраждали у ніч з 13 на 14 січня 2022 року. Наразі розслідувачі вважають, що дефейс та атака за допомогою вайпера — це складові однієї скоординованої атаки.
• Тим часом Віктор Жора, заступник голови Держспецзв’язку повідомляє про те, що знищені дані та постраждалі органи є важливими, але некритичними для інфраструктури країни. І що ця атака не призвела до знищення державних баз даних або реєстрів.
Для інформації! WhisperGate працює в три етапи:
• на першому хакери завантажують вірус до системи, й вірус переписує частину жорсткого диска, що відповідає за запуск операційної системи, коли комп’ютер вмикається. Дописує туди повідомлення з вимогою викупу вартістю $10 тис. у біткоїнах, хоча це повідомлення і не з’являється на уражених комп’ютерах одразу;
• на другому та третьому етапі вірус через канал у Discord завантажує додаткові шкідливі компоненти, що шкодять численним файлам ураженої системи. Хакери виконують цю операцію, змушуючи комп’ютер вимкнутись;
• коли він знову вмикається, на екрані з’являється повідомлення про викуп. Користувач бачить його та вважає, що можна заплатити й відновити доступ до системи. Але насправді система — уже в неробочому стані й відновити її неможливо.
Цей вірус знайшли також і на системах компанії Kitsoft, що розробляє та підтримує частину уражених під час атаки державних сайтів.
Раніше Investory News писали, що за інформацією Держспецзв’язку під час кібератак не було ушкоджено реєстр із даними автовласників.
Тим часом зранку 17 січня хакери атакували форум Prozorro Infobox, однак це не вплинуло на роботу системи закупівель Prozorro.
Більше новин та актуальних матеріалів Investory News у нашому каналі в Telegram
Ми у соцмережах