Дефейс — верхушка айсберга: новые подробности об атаке на правительственные сайты

Во время атаки на украинские государственные сайты хакеры использовали вирус WhisperGate. Из-за этого были уничтожены данные на компьютерах двух украинских государственных учреждений, но эти данные не являются критическими. Об этом пишут украинские ведомства, расследующие инцидент. Такую же версию описывает американский журналист-расследователь Ким Зеттер, каторая ранее говорила об уязвимости в октябре, которая могла быть использована для атаки.

Поэтому уже ранее было известно, что атака была структурирована, проводилась в несколько этапов, и не ограничивалась дефейсом (закрытием сайта). Речь идет о возможности уничтожения определенной информации на затронутых компьютерах. Итак, что известно на данный момент.

• Государственная служба специальной связи и защиты информации, эксперты которой участвуют в расследовании, подтвердила гипотезу Microsoft о том, что частью атаки мог быть новый вирус WhisperGate (вирус, уничтожающий данные на компьютере жертвы).

«Использование вайперной программы WhisperGate, согласно классификации Microsoft, для уничтожения данных, записанных в нескольких учреждениях, ставших жертвами атаки. Таким образом, весьма вероятно, что дефейс сайтов атакуемых госорганов и уничтожение данных с помощью вайпера являются составляющими одной кибератаки, направленной на то, чтобы максимально навредить инфраструктуре государственных электронных ресурсов», — сообщает Госслужба связи.

• Напомним, на следующий день после атаки, 15 января 2021 года, компания Microsoft опубликовала подробный отчет о деструктивном программном обеспечении, направленном на организации в Украине, впервые обнаруженные 13 января. Этот вирус, предварительно классифицированный как DEV-0586, по словам компании, был сделан так, чтобы он напоминал вирус-требователь, просящий денег за доступ к заблокированному контенту. Однако ему не хватает механизма восстановления этого контента, следовательно, это скорее был вирус-вайпер, чья цель — уничтожение ресурсов пострадавших компьютеров.
• По данным Ким Зеттер, у которой судя по всему есть источники среди расследующих инцидент, WhisperGate уничтожил данные на семи компьютерах одного из госучреждений, подвергшихся атаке, а также повредил компьютеры и серверы другого учреждения. Сайты обоих органов также пострадали в ночь с 13 на 14 января 2022 года. Сейчас расследователи считают, что дефейс и атака с помощью вайпера – это составляющие одной скоординированной атаки.
• Ссылаясь на слова Виктора Жоры, заместителя председателя Госспецсвязи, она сообщает о том, что уничтоженные данные и пострадавшие органы важны, но некритичны для инфраструктуры страны. И что эта атака не привела к уничтожению государственных баз данных или реестров.
• WhisperGate работает в три этапа.
  • На первом хакере загружают вирус в систему, и вирус переписывает часть жесткого диска, отвечающего за запуск операционной системы, когда компьютер включается. Дописывает туда сообщения с требованием выкупа стоимостью $10 000 в биткоинах, хотя это сообщение не появляется на пораженных компьютерах сразу.
  • На втором и третьем этапе вирус через канал в Discord загружает дополнительные вредоносные компоненты, вредящие многочисленным файлам пораженной системы. Хакеры выполняют эту операцию, заставляя компьютер выключиться.
  • Когда он снова включается, на экране отображается сообщение о выкупе. Пользователь видит его и считает, что можно заплатить и восстановить доступ к системе. Но на самом деле система уже в нерабочем состоянии и восстановить ее невозможно.
• Этот же вирус нашли также и на системах компании Kitsoft, разрабатывающей и поддерживающей часть пораженных при атаке государственных сайтов.