Категорія
Новини
Дата

Білоруський слід та маскування під програму-вимагач. Що ще стало відомо про наймасштабнішу кібератаку на українські урядові сайти

Служба безпеки України підозрює у зламі урядових сайтів російські хакерські групи, РНБО — білоруське угрупування UNC1151. Що прояснилося за вихідні в масштабній кібератаці, яка сталася в ніч з 13 на 14 січня

Ключові факти

  • Служба безпеки України (СБУ) разом зі Держспецзвʼязку та Кіберполіцією виявила ознаки причетності до атаки хакерських груп, пов’язаних зі спецслужбами РФ. У відомстві повідомили, що це була supply chain attack. «Злочинці зламали інфраструктуру комерційної компанії, що мала доступ з правами адміністрування вебресурсів, постраждалих внаслідок атаки», — повідомили на сайті СБУ.
  • Адміністрування більшості держсайтів займається київська компанія Kitsoft. Компанія заявляє, що її фахівці тестують на вразливості, виправляють помилки й оновлюють сайти. «На жаль, не всі замовники замовляють послугу підтримки сайтів, і відповідно ми не маємо до них доступу», – додали у Kitsoft. Атаку здійснили й на ті сайти, які компанія не розробляла: сайт Рахункової палати, Міндовкілля, ДСНС, Мінрегіон та інші.
  • Урядові експерти також побачили в атаці російський слід. «Припускаємо, що нинішня (атака — ред.) пов’язана з нещодавньою поразкою Росії на переговорах щодо майбутньої співпраці України з НАТО», — заявили у Центрі стратегічних комунікацій та інформаційної безпеки. На російський слід, на їхню думку, вказує і хронологія поширення новини. Одним із перших, о 4 ранку (за київським часом) про атаку повідомило російське провладне видання «РІА».
  • Урядові експерти пояснили, що використання чутливих тем з історії польсько-українських стосунків повинно було замаскувати слід російських хакерів. Однак текст польською містить стилістичні неточності та лексичні помилки, що підтвердили українським кіберфахівцям і польські колеги.
  • У РНБО інші підозрювані — хакерське угрупування UNC1151. Воно пов’язане зі спецслужбами Республіки Білорусь, за словами заступника секретаря РНБО Сергія Демедюка. «Попередньо ми вважаємо, що до цієї атаки може бути причетна група UNC1151. Пошкодження сайтів було лише прикриттям для більш деструктивних дій, які відбувалися за лаштунками і наслідки яких ми відчуємо найближчим часом», — сказав він у коментарі Reuters. За словами Демедюка, UNC1151 має досвід хакерських нападів на Литву, Латвію, Польщу та Україну.
  • Виробник програмного забезпечення Microsoft заявив, що її фахівці знайшли шкідливий софт на декількох українських урядових сайтах після масштабної кібератаки. Фахівці зазначили, що вперше це програмне забезпечення вони виявили 13 січня 2022 року. Його замаскували під програму-вимагач з певними особливостями призначення — виводити пристрої з ладу, а не вимагати викуп. Це шкідливе ПЗ знайшли у десятках систем — ідеться про системи держорганів, неурядових організацій та ІТ-організацій в Україні. Хакери не змогли скористатися даними з жодних продуктів та сервісів Microsoft, заявила компанія.

Контекст

У ніч з 13 на 14 січня хакери зламали понад 70 урядових сайтів та оприлюднили повідомлення трьома мовами – українською, російською та польською. У тексті погрожують, що українцям варто боятися та чекати на помсту за «Волинь, Полісся, УПА та історичні території». Крім того, у повідомленні зазначили, що хакери вкрали особисті дані українських громадян. У Службі безпеки та Міністерстві цифрової трансформації відразу сказали, що витоку даних не відбулося. 

Кіберзлочинці могли взламати державні сайти через безкоштовне програмне забезпечення OctoberCMS, яке вчасно не оновили. Через хакерську атаку стався збій у роботі сервісів Моторного транспортного страхового бюро й зупинили продаж електронних полісів автоцивільної відповідальності.

Наступні кібератаки можуть спрямовуватися на критичну інфраструктуру України, пише Reuters. Через кібератаку на електромережу українці можуть залишитися без світла та тепла. Атака на Держказначейство може призупинити виплати держпрацівникам та пенсіонерам.

У Reuters нагадали, що до недавнього часу хакерські атаки на лікарні, комунальні підприємства та фінансову систему були рідкістю. Протягом останніх двох років кіберзлочинці відключали обладнання, необхідне для догляду за пацієнтами лікарнях. У деяких випадках це призвело до смерті пацієнтів.

Матеріали по темі