Атака на державні сайти 23 лютого пов’язана із спецслужбами РФ — Bellingcat

23 лютого деякі українські державні сайти перестали працювати. Перебої почались приблизно о 16:30. Зокрема не відкривалися сайти Верховної Ради, Міністерства закордонних справ, Служби безпеки України та Кабінету міністрів України. За даними розвідувачів видання Bellingcat, до неї причетні спецслужби Росії, конкретно — хакери, пов’язані із Головним розвідувальним управлінням генштабу РФ (ГРУ), групування APT28 (Fancy Bear).

• Розслідувачі з Bellingcat та The Insider дослідили атаки на українські сервіси та знайшли сайт, що служив центром керування та контролю для хакерів. Він пов’язаний і з іншими кібератаками на користь Росії.
• Під час аналізу цього ресурсу дослідники знайшли фейкові копії інших українських державних сайтів, включаючи головну сайту президента, Мінюст та деякі інші. Вони розміщувалися на піддоменах stun[.]site.
• Один із клонованих сайтів, що розміщувався на stun[.]site, розміщував попап-вікно, що пропонувало користувачам підтримати президента. Якщо клікнути по цьому повідомленню, користувачеві завантажували шкідливий софт на комп’ютер. Поки що невідомо, яка ціль була у цього софта. Сайт виглядав отак:

• Ці сайти-клони створили не раніше, ніж листопад 2021 року, у ті часи, коли посилилася ескалація.
• Тип шкідливого софта на піддоменах stun[.]site, а також реєстратор доменів збігаються із тим, що використовували у попередніх атаках на українські сайти у квітні 2021 року, а також на держоргани Грузії. Тоді хакери розсилали фішингові листи під назвами на кшталт «Новий варіант COVID-21», щоб викрасти особисті дані, встановити даунлоадери на комп’ютери і т.п.
• Останні атаки відносять до хакерського відділу ГРУ, що відомий під назвами APT28 або Fancy Bear. Їх поєднують і мішені: держоргани, і подібність до попередніх атак APT28, а також IP-адреси, що стоять за доменними іменами, що використовували як центри керування та належали росіянам. Схожий і набір шкідливого софта, що використовували при раніших атаках і зараз.

Нагадаємо, 15 лютого 2022 року пройшло кілька хвиль атаки на українські державні сайти, а також на сайти та сервіси багатьох українських банків. За даними Ради національної безпеки США, ці атаки також були пов’язані із спеслужбами РФ.