Стас Юрасов Гаряченьке 16 січня 2022, 12:49

Хакерська атака на 70 відомств в Україні. Спливли деталі: хакери могли перетворити держдані на сміття

Наслідки хакерської атаки в Україні можуть виявитися набагато серйознішими. Частина держданних можуть бути стерті. Що відомо на даний момент

Залишити коментар

Хакерська атака на 70 відомств в Україні. Спливли деталі: хакери могли перетворити держдані на сміття

Наслідки хакерської атаки в Україні можуть виявитися набагато серйознішими. Частина держданних можуть бути стерті. Що відомо на даний момент

Масштабний кібератака на більш ніж 70 державних ресурсів Україна 14 січня не була умовно «нешкідливим» дефейсом, коли зломщики отримали доступ до панелей управління сайтами, розмістили своє хакерське повідомлення, і на цьому нібито все: адміністратори прийшли і повернули контент сайту назад.

Вірніше, дефейс (дрібне хуліганство в хакерському світі) таки дійсно був, так як більшість сайтів через кілька годин повернулися до життя. Але він просто відволікав увагу від більш руйнівних дій хакерів, які, швидше за все, відбувалися паралельно.

Стара версія

Версія, яка озвучувалася кіберекспертами в п’ятницю — атака базувалася на найпростішій уразливості в CMS (Content Management System). Це система управління контентом на сайті, яка називається OctoberCMS. Про неї було відомо ще з травня. Але держвідомства не провели своєчасного оновлення, чим і скористалися хакери, зробивши дефейс-атаку. Український центр реагування на кіберзагрози опублікував інструкцію, як держсайтам швидко усунути наслідки OctoberCMS.

Але про те, що проблема набагато серйозніша, лише через день вперше заявив заступник секретаря Ради національної безпеки і оборони (РНБО) Сергій Демедюк. В інтерв’ю агентству Reuters у суботу, 15 січня, він розповів, що за атакою стояла група UNC1151, дії якої були «лише прикриттям для більш руйнівних дій, які відбувалися за лаштунками», і наслідки яких Україна відчує найближчим часом.

Друга версія

З’явилася і ще одна версія того, як проходила атака. Вона відрізняється від тієї, яку транслювали в Держспецзв’язку — атака на систему управління контентом.

Як написали на сторінці Facebook Мінцифри, можна з великою ймовірністю стверджувати, що сталася так звана supply chain attack — атака через ланцюжок поставок.

«Зловмисники зламали інфраструктуру комерційної компанії, яка мала доступ з правами адміністрування до постраждалих в результаті атаки веб-ресурсів», — передає Мінцифра.

У якій компанії була діра

Комерційна компанія, через адмінправа якої хакери залізли на держресурси, не розкривається.

Але примітно, що досі (неділя, 11:00) лежить сайт IT-компанії, яка створювала сайти для держорганів — Kitsoft.

«Очевидно, що атака носила комплексний складний характер і кілька векторів розвитку сценаріїв. В даний час наші фахівці зафіксували, що постраждали не тільки сайти, розроблені компанією Kitsoft, а й інші: https://check.gov.ua/, https://court.gov.ua/, https://www.dsns .gov.ua/, https://e-driver.hsc.gov.ua/, https://e-journal.iea.gov.ua/, http://gov.ua/, https://mail .gov.ua/, https://www.minregion.gov.ua/», — сказано в повідомленні, на її Facebook-сторінці.

Наслідки, яких поки видно

Досі не відкривається стартова порталу diia.gov.ua. йде переадресація на каталог послуг.

У набагато більш жалюгідній ситуації — база МТСБУ. Як написав співзасновник monobank Олег Гороховський у своєму TG-каналі, ходять чутки про те, що її база знищена хакерами.

«Ходять наполегливі чутки, що бази МТСБУ знищені хакерами і характер збою викликає тривогу про те, що чутки обгрунтовані», — зазначає він.

Страхові компанії відзначають, що автоцивілку зараз неможливо купити в електронному вигляді, а також перевірити її валідність. У самому бюро підтверджують факт хакерської атаки і додають, що поки договору по автоцивілці можна укладати тільки в паперовій формі.

Хактивісти в суботу починали натякати, що сталося щось більш серйозне. Голова наглядової ради Octava Capital Олександр Кардаков підтвердив dev.ua, що основна атака хакерів була на знищення держданних без можливості їх відновлення.

Правда, поки не відомий весь список постраждалих. Кардаков каже, що дані є, але до офіційно розслідування він не може їх розголошувати.

Представники Мінцифри теж не відповідають.

Перше розслідування Microsoft

Трохи світла проливає Microsoft у своєму свіжому розслідуванні українського інциденту.

Microsoft називає атаку DEV-0586. Вважає, що вона не має зв’язку з відомими активностями хакерів. Тобто, це абсолютно новий інструмент.

Що ще виявив Microsoft:

1. Шкідливе ПЗ виглядає як програма-вимагач. Але нею не є насправді.

Вона залишає жертві повідомлення з вимогою перерахувати на біткоїн-гаманець $10 000 для розблокування:

Your hard drive has been corrupted.

In case you want to recover all hard drives

of your organization,

You should pay us $10k via bitcoin wallet

1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via

tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65

with your organization name.

We will contact you to give further instructions.

Але паралельно в Microsoft пишуть, що вірус не містить в собі механізму розблокування. Тобто, якщо держвідомство переведе гроші на вказаний рахунок, точно нічого не станеться.

2. Шкідлива програма просто «перетирає» файлову систему жертви, перетворюючи її файли в сміття.

Ось розширення файлів, які знищує шкідник:

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Іншими словами, це практично будь-який файл, який міститься в базі даних жертви.

Таким чином, Україна має справу з дуже серйозною атакою, наслідки якої ще не зрозумілі до кінця. І очевидно, що наступного тижня ми дізнаємося набагато більше новин — що ще зламано.

Чи є зв’язок

Примітно, що практично паралельно з атакою псевдошифрувальника файлів (а насправді знищувача файлів) в Україні, в Росії ФСБ проводила масштабну операцію щодо затримання членів угруповання REvil, одного з найбільших угруповань шифрувальників у світі.