При кибератаке на правительственные сайты для уничтожения данных использовали по меньшей мере две программы. Об этом сообщает Госспецсвязи.
Как установила служба, для нарушения работы систем злоумышленники произвели шифрование или удаление данных: либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ:
- BootPatch: приложение выполняет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Она обеспечивает отображение сообщения о выкупе и искажает данные, перезаписывая каждый сектор жесткого диска соответствующим сообщением.
- WhisperKill: выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.
При этом вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем.
Госспецсвязи все же не отбрасывает еще два возможных вектора атаки - эксплуатация уязвимостей OctoberCMS и Log4j.
Согласно имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.
Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется. Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента. Для этого злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.
Кроме того, дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках кибератаки. Центр киберзащиты обнаружил дополнительный IP-адрес 179.43.176[.]42, что касалось аналогичной активности в двух других пострадавших организациях.