Хакеры во время атаки на госсайты Украины использовали две программы: новые подробности

Хакеры во время атаки на госсайты Украины использовали две программы: новые подробности

Для кибератаки на госсайты Украины, состоявшейся в ночь на 14 января, были применены по меньшей мере две разновидности вредоносных программ деструктивного характера: BootPatch и WhisperKill. Нападение планировалось заранее и проводилось в несколько этапов.

Как пояснила команда реагирования на чрезвычайные события Украины CERT-ua, BootPatch – это запись вредоносного кода на жесткий диск с целью его необратимого преобразования. WhisperKill – перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ. Также удаление данных производилось путем ручного удаления виртуальных машин.

По данным специалистов, злоумышленники использовали существующие доверительные связи для выведения из строя связанных информационно-телекоммуникационных и автоматизированных систем. Также они могли использовать уязвимости системы управления содержимым сайта OctoberCMS и библиотеки Java-программ Log4j.

Отмечается, что эксперты CERT-UA приняли меры по сбору цифровых доказательств, изучению образцов вредоносных программ и проведению компьютерно-технических исследований, в частности, – восстановления информации после ее умышленного уничтожения. В настоящее время идет анализ данных и исследование обстоятельств киберинцидентов.

Напомним: в ночь на 14 января хакеры атаковали ряд сайтов украинского правительства: портал Министерства образования и науки, веб-ресурсы еще нескольких министерств и Дії. Пользователей "встречали" угрожающие сообщения.

17 января в Украине была совершена хакерская атака на информационные ресурсы госструктур: Шевченковского районного суда Киева и страницу форума Prozorro Infobox, который является отдельной системой, не связанной с системой закупок Prozorro.

А 26 января кибератака была осуществлена на официальный сайт Украины Ukraine.ua – портал для иностранных аудиторий о современной Украине, который запустили 14 января 2021 года. В результате в течение нескольких часов он был недоступен для пользователей.