Кибератака на госсайты: для уничтожения данных использовали две программы
getty images
Госспецсвязи опубликовало часть расследования кибератаки на правительственные сайты 14 января, в котором говорится, что для уничтожения данных использовали по меньшей мере две программы.
Об этом сообщила пресс-служба Госспецсвязи.
Служба подтвердила, что для нарушения работы систем злоумышленники произвели шифрование или удаление данных: либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ:
- BootPatch: приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill: выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
Как предварительно выяснили специалисты, вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем.
В то же время не отбрасываются еще два возможных вектора атаки - эксплуатация уязвимостей OctoberCMS и Log4j.
По имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется.
Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента.
С этой целью злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках кибератаки.
Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.]42, что касалось аналогичной активности в двух других пострадавших организациях.
