Центр розвідки загроз Microsoft (MSTIC) виявив замасковане під програми-здирники шкідливе програмне забезпечення, яке використовувалося при хакерській атаці на урядові мережі України. ПЗ втрутилося в роботу жорстких дисків заражених пристроїв.
У компанії розповіли, що вперше виявили це шкідливе програмне забезпечення 13 січня 2022 року. Воно замасковане під програму-вимагач, проте призначене не для отримання вигоди, а для виведення з ладу пристроїв, на які націлене.
Шкідливе ПЗ вже виявлено у десятках постраждалих систем, проте їх кількість може збільшитися під час продовження розслідування.
У переліку заражених – системи державних органів, некомерційних організацій та інформаційно-технологічних компаній в Україні.
У Microsoft додали, що поки не знайшли значної схожості хакерів, які атакували Україну, з іншими групами кіберзлочинців, яких відстежує компанія.
Microsoft передала свої висновки постраждалим організаціям а також урядовим установам у США та у інших країнах.
Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe, воно перезаписує основний завантажувальний запис (Master Boot Record, MBR - частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп.
"Враховуючи масштаби вторгнення, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційної організації чи підприємства, що знаходиться або має системи в Україні.
Перезапис MBR є нетиповим для кіберзлочинних програм-вимагачів. Насправді повідомлення про програму-вимагач є хитрістю, і зловмисне програмне забезпечення знищує MBR і вміст файлів, на які націлене".
Після кібератаки на сайти українських міністерств американські експерти попередили про можливі серйозніші атаки, які можуть порушити життя простих українців.
Київ вважає, що глобальну хакерську атаку на сайти Кабміну та на портал "Дія" вчинила група UNC1151, пов’язана з білоруською розвідкою.
Також Міністерство цифрової трансформації заявило, що за кібератакою на Україну стоїть Росія, а її метою є залякування громадян нашої держави і дестабілізація всередині країни.
"Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах.
Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року.
Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про "злив" персональних даних українців… Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах".
У міністерстві зазначили, що Держспецзв'язку разом із СБУ та Кіберполіцією продовжують розслідувати кібератаку на сайти органів державної влади.
Мінцифри також наголошує, що "Дія" не зберігає персональні дані українців, а усі вони розміщені "у відповідних реєстрах, які надійно захищені". Застосунок є тільки "мостом" між інформацією з держреєстрів та користувачем.
Водночас речник президента Росії Дмитро Пєсков заявив, що Росія не причетна до кібератак на українські сайти.
"Ми живемо у світі фальшивих звинувачень, фейкових новин і у світі брехні. Поки це не доведено [...] ми продовжуватимемо стверджувати, що це фейкові новини".
"…Росія не має жодного стосунку до цих кібератак".
"Ми майже звикли до того, що українці у всьому звинувачують Росію, навіть у поганій погоді у своїй країні".
Що передувало: Урядові експерти припустили, що хакерська атака на українські урядові сайти вночі 14 січня здійснювалась з Росії.
Вночі 14 січня хакери зламали кілька урядових сайтів, зокрема Міністерства освіти, Міністерства закордонних справ, порталу "Дія" тощо, та оприлюднили своє повідомлення трьома мовами – українською, російською та польською. У тексті погрожують, що українцям варто боятися та чекати на помсту за "Волинь, Полісся, УПА та історичні території". Крім того, у повідомленні зазначили, що хакери вкрали особисті дані українських громадян.
У Службі безпеки та Міністерстві цифрової трансформації відразу сказали, що витоку даних не відбулося. Українські кіберфахівці наразі досліджують технічну сторону кібератаки та відновлюють стан сайті.
Глава дипломатії Євросоюзу Жозеп Боррель засудив кібератаку та пообіцяв, що європейські фахівці допоможуть українським колегам у вирішенні ситуації.
Польські журналісти також зауважили на стилістичні неточності та дивний вибір лексем у польському тексті, оприлюдненому хакерами. |