Під час атаки на українські державні сайти хакери використовували вірус-вайпер WhisperGate. Через нього знищені дані на комп’ютерах двох українських держустанов, проте ці дані — некритичні. Про це пишуть українські відомства, що розслідують інцидент. Таку ж версію описує й американська журналістка-розслідувач Кім Зеттер, яка раніше розповіла про вразливість у OctoberCMS, що могла бути використана для атаки.
Тож наразі вже попередньо відомо про те, що атака була структурованою, проводилася в кілька етапів, і не обмежувалася лише дефейсом (відключенням сайтів). Йдеться уже про можливість знищення певної інформації на постраждалих комп’ютерах. Тож, що відомо станом на зараз.
- У Державній службі спеціального зв’язку та захисту інформації, чиї експерти беруть участь у розслідуванні, підтвердили гіпотезу Microsoft про те, що складовою атаки міг бути новий вірус-вайпер WhisperGate (вірус, що винищує дані на комп’ютері-жертві).
«Використання програми-вайпера WhisperGate, за класифікацією компанії Microsoft для знищення даних, зафіксоване в кількох установах, що стали жертвами атаки. Таким чином, з високою вірогідністю можна стверджувати, що дефейс вебсайтів атакованих держорганів та знищення даних за допомогою вайпера є складовими однієї кібератаки, спрямованої на завдання якомога більшої шкоди інфраструктурі державних електронних ресурсів», — повідомляє Держспецзв’язку.
- Нагадаємо, на наступний день після атаки, 15 січня 2021 року, компанія Microsoft опублікувала детальний звіт про деструктивне програмне забезпечення, спрямоване на організації в Україні, яке вперше виявили 13 січня. Цей вірус, попередньо класифікований як DEV-0586, за словами компанії, було зроблено так, щоб він нагадував вірус-вимагач, що просить грошей за доступ до заблокованого контенту. Одначе йому бракує механізму відновлення цього контенту, а отже це скоріше був вірус-вайпер, чия мета — знищення ресурсів постраждалих комп’ютерів.
- За даними Кім Зеттер, у якої судячи з усього є джерела серед тих, хто розслідує інцидент, WhisperGate знищив дані на семи комп’ютерах однієї з держустанов, що зазнали атаки, а також пошкодив комп’ютери та сервери іншої установи. Сайти обидвох органів також постраждали у ніч з 13 на 14 січня 2022 року. Зараз розслідувачі вважають, що дефейс та атака за допомогою вайпера — це складові однієї скоординованої атаки.
- Посилаючись на слова Віктора Жори, заступника голови Держспецзв’язку, вона повідомляє про те, що знищені дані та постраждалі органи є важливими, але некритичними для інфраструктури країни. І що ця атака не призвела до знищення державних баз даних або реєстрів.
- WhisperGate працює в три етапи.
- На першому хакери завантажують вірус до системи, й вірус переписує частину жорсткого диску, що відповідає за запуск операційної системи, коли комп’ютер вмикається. Дописує туди повідомлення з вимогою викупу вартістю $10 000 у біткоїнах, хоча це повідомлення і не з’являється на уражених комп’ютерах одразу.
- На другому та третьому етапі вірус через канал у Discord завантажує додаткові шкідливі компоненти, що шкодять численним файлам ураженої системи. Хакери виконують цю операцію, змушуючи комп’ютер вимкнутись.
- Коли він знову вмикається, на екрані з’являється повідомлення про викуп. Користувач бачить його та вважає, що можна заплатити й відновити доступ до системи. Але насправді система — уже в неробочому стані й відновити її неможливо.
- Цей саме вірус знайшли також і на системах компанії Kitsoft, що розробляє та підтримує частину уражених під час атаки державних сайтів.