Що під капотом в Uklon? Слухай TechPower Podcast 🎧

Хакерская атака на 70 ведомств в Украине. Всплыли детали: хакеры могли превратить госданные в мусор

Последствия хакерской атаки в Украине могут оказаться гораздо серьезнее. Часть госданных могут быть стерты. Что известно на данный момент

Оставить комментарий
Хакерская атака на 70 ведомств в Украине. Всплыли детали: хакеры могли превратить госданные в мусор

Последствия хакерской атаки в Украине могут оказаться гораздо серьезнее. Часть госданных могут быть стерты. Что известно на данный момент

Масштабная кибератака на более чем 70 государственных ресурсов Украины 14 января не была условно «безвредным» дефейсом, когда взломщики получили доступ к панелям управления сайтами, разместили свое хакерское сообщение, и на этом якобы все: администраторы пришли и вернули контент сайта обратно. 

Вернее, дефейс (мелкое хулиганство в хакерском мире) таки действительно был, так как большинство сайтов через несколько часов вернулись к жизни. Но он просто отвлекал внимание от более разрушительных действий хакеров, скорее всего, происходивших параллельно. 

Старая версия

Версия, которая озвучивалась киберэкспертами в пятницу — атака базировалась на простейшей уязвимости в CMS (Content Management System). Это система управления контентом на сайте, которая называется OctoberCMS. О ней было известно еще с мая. Но госведомства не провели своевременного обновления, чем и воспользовались хакеры, произведя дефейс-атаку. Украинский центр реагирования на киберугрозы опубликовал инструкцию, как госсайтам быстро устранить последствия OctoberCMS.

Но о том, что проблема гораздо серьезнее, лишь через день впервые заявил заместитель секретаря Совета национальной безопасности и обороны (СНБО) Сергей Демедюк. В интервью агентству Reuters в субботу, 15 января, он рассказал, что за атакой стояла группа UNC1151, действия которой были «лишь прикрытием для более разрушительных действий, которые происходили за кулисами и последствия которых» Украина ощутит в ближайшее время.

Вторая версия

Появилась и еще одна версия того, как проходила атака. Она отличается от той, которую транслировали в Госспецсвязи — атака на систему управления контентом.

Как написали на страничке Facebook Минцифры, можно с большой вероятностью утверждать, что произошла так называемая supply chain attack — атака через цепочку поставок. 

«Злоумышленники сломали инфраструктуру коммерческой компании, которая имела доступ с правами администрирования к пострадавшим в результате атаки веб-ресурсам», — сообщила Минцифры.

В какой компании была дыра

Коммерческая компания, через админправа которой хакеры залезли на госресурсы, не раскрывается.  

Но примечательно, что до сих пор (воскресенье, 11 00) лежит сайт IT-компании, которая создавала сайты для госорганов — Kitsoft. 

«Очевидно, что атака носила комплексный, сложный характер и несколько векторов развития сценариев. В настоящее время наши специалисты зафиксировали, что пострадали не только сайты, разработанные компанией Kitsoft, но и другие:

https://check.gov.ua/, https://court.gov.ua/, https://www.dsns .gov.ua/, https://e-driver.hsc.gov.ua/, https://e-journal.iea.gov.ua/, http://gov.ua/, https://mail .gov.ua/, https://www.minregion.gov.ua/», — сказано в сообщении, на ее Facebook-странице. 

Последствия, которые пока видны

До сих пор не открывается стартовая портала diia.gov.ua. Идет переадресация на каталог услуг. 

В гораздо более плачевной ситуации — база МТСБУ. Как написал сооснователь monobank Олег Гороховский на своем tg-канале, ходят слухи о том, что ее база уничтожена хакерами. 

«Ходят упорные слухи, что базы МТСБУ уничтожены хакерами и характер сбоя вызывает тревогу о том, что слухи обоснованы», — отмечает он. 

Страховые компании отмечают, что автоцивилку сейчас невозможно купить в электронном виде, а также проверить ее валидность. В самом бюро подтверждают факт хакерской атаки и добавляют, что пока договора по автоцивилке можно заключать только в бумажной форме.

Хактивисты в субботу начинают намекать, что произошло что-то более серьезное. Председатель наблюдательного совета Octava Capital  Александр Кардаков подтверждает dev.ua, что основная атака хакеров была на уничтожение госданных без возможности их восстановления. 

Правда пока не  известен весь  список пострадавших.

Кардаков говорит, что данные есть, но до официально расследования он не может их разглашать.

Представители Минцифры тоже не отвечают.

Первое расследование Microsoft

Немного света проливает Microsoft в своем свежем расследовании украинского инцидента. 

Microsoft называет атаку DEV-0586. Считает, что она не имеет связи с известными активностями хакеров. То есть, это совершенно новый инструмент.

Что еще обнаружил Microsoft:

1. Вредоносное ПО выглядит как программа вымогатель. Но им не является. 

Она оставляет жертве сообщение с требованием перечислить на биткоин-кошелек $10 000 за разблокировку:

Your hard drive has been corrupted.

In case you want to recover all hard drives

of your organization,

You should pay us $10k via bitcoin wallet

1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via

tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65

with your organization name.

We will contact you to give further instructions.

Но параллельно в Microsoft пишут, что вирус не содержит в себе механизма разблокировки. То есть, если госведомство переведет деньги на указанный счет, точно ничего не произойдет.

2. Зловредная программа просто «перетирает» файловую систему жертвы, превращая ее файлы в мусор.

Вот расширения файлов, которые уничтожает зловред:

.3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR .CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM .HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI .NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 .PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV .SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIP

Иными словами, это практически любой файл, который содержится в базе данных жертвы.

Таким образом, украина имеет дело с очень серьезной атакой, последствия которой еще не ясны до конца. И очевидно, что на следующей неделе мы узнаем гораздо больше новостей — что еще сломано.

Есть ли связь

Примечательно, что практически параллельно с атакой псевдошифровальщика файлов (а на самом деле уничтожителя файлов) в Украине, в России ФСБ проводила масштабную операцию по задержанию членов группировки REvil, одной из крупнейших группировок-шифровальщиков в мире. 

На сайты МИД и других госведомств осуществлена масштабная хакерская атака
На сайты МИД и других госведомств осуществлена масштабная хакерская атака
По теме
На сайты МИД и других госведомств осуществлена масштабная хакерская атака
В Госспецсвязи фиксируют рост количества кибератак однако уверяют что данные граждан защищены
В Госспецсвязи фиксируют рост количества кибератак, однако уверяют, что данные граждан защищены
По теме
В Госспецсвязи фиксируют рост количества кибератак, однако уверяют, что данные граждан защищены
В США Украине пророчат кибервойну. Атака уже началась. Чего ждать и стоит ли бояться отвечают украинские эксперты по кибербезопасности
В США Украине пророчат кибервойну. Атака уже началась. Чего ждать и стоит ли бояться, отвечают украинские эксперты по кибербезопасности
По теме
В США Украине пророчат кибервойну. Атака уже началась. Чего ждать и стоит ли бояться, отвечают украинские эксперты по кибербезопасности
Читайте главные IТ-новости страны в нашем телеграме
Читайте главные IТ-новости страны в нашем телеграме
По теме
Читайте главные IТ-новости страны в нашем телеграме
Новий випуск «З фронту в IT» про айтівців, які повертаються до цивільного життя після ЗСУ.

Історія світчера з Тернопільщини, який змінив агро на IT, а IT на ЗСУ

УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
Читайте также
Хакеры атакуют украинских операторов и провайдеров телекоммуникаций
Хакеры атакуют украинских операторов и провайдеров телекоммуникаций
Хакеры атакуют украинских операторов и провайдеров телекоммуникаций
Шпионский софт Pegasus сломал телефон испанского премьера и министерши обороны. Главу разведки Испании уволили за халатность
Шпионский софт Pegasus сломал телефон испанского премьера и министерши обороны. Главу разведки Испании уволили за халатность
Шпионский софт Pegasus сломал телефон испанского премьера и министерши обороны. Главу разведки Испании уволили за халатность
Не только рф. ТОП-5 хакерских группировок, наиболее часто атакующих Украину
Не только рф. ТОП-5 хакерских группировок, наиболее часто атакующих Украину
Не только рф. ТОП-5 хакерских группировок, наиболее часто атакующих Украину
Белорусские хакеры взламывали соцсети украинских военных и публиковали призывы сдаваться. 5 выводов из отчета Meta
Белорусские хакеры взламывали соцсети украинских военных и публиковали призывы сдаваться. 5 выводов из отчета Meta
Белорусские хакеры взламывали соцсети украинских военных и публиковали призывы сдаваться. 5 выводов из отчета Meta

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.