Корпорація Microsoft повідомила, що Центр розвідки загроз компанії (MSTIC) виявив шкідливе програмне забезпечення, яке використали під час кібератаки на урядові мережі України.
Замаскований під програми-здирники шкідливий софт вперше з’явився в системах постраждалих українських сайтів 13 січня 2022 року. Це ПЗ втручається в роботу жорстких дисків заражених пристроїв.
«Зловмисне програмне забезпечення має вигляд програм-вимагачів, але не має механізму стягнення викупу. Воно може бути руйнівним і призначене для того, щоб порушити роботу цільових пристроїв, а не для отримання викупу», — розповіли в MSTIC та уточнили, що зловмисне програмне забезпечення знаходиться в різних робочих каталогах і часто має назву stage1.exe.
Як пояснили в Центрі розвідки загроз Microsoft, ПЗ перезаписує основний завантажувальний запис (MBR — це частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп. «Зловмисне програмне забезпечення запускається, коли пов’язаний пристрій вимкнено. Перезапис MBR є нетиповим для кіберзлочинних програм-здирників. Насправді повідомлення про таку програму є хитрістю, і зловмисне програмне забезпечення знищує MBR і вміст файлів, на які націлене», — зазначили в компанії.
У Microsoft розповіли, що це ПЗ виявилися вже в десятках постраждалих систем та додали, що «ця кількість може зрости» під час продовження розслідування. Компанія уточнила, що постраждали системи державних органів, некомерційних організацій та інформаційно-технологічних організацій в Україні.
MSTIC наразі не ідентифікував хакерів, які скоїли хакерську атаку на Україну, а також не зміг оцінити їхні наміри. «Малоймовірно, що ці системи, які постраждали, відображають весь масштаб впливу, — сказали в компанії. — Враховуючи масштаби вторгнення, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційної організації чи підприємства, що знаходиться або має системи в Україні».
Нагадаємо, у ніч на 14 січня хакери атакували близько 70 сайтів органів влади України. Зокрема, хакерської атаки зазнали сайти Міністерства освіти та науки, Міністерства закордонних справ, Міністерства у справах ветеранів, Міністерства енергетики, Державної служби з надзвичайних ситуацій та «Дії». На урядових ресурсах було розміщено зображення з текстом українською, російською та польською мовами, який попереджає користувача, що нібито його особисті дані стали публічними, а інформація на комп'ютері знищуються. Припис, що це «за ОУН УПА, за Галичину, за Полісся та за історичні землі» нібито вказував, що до атаки причетні «польські» хакери. Однак «послання» українцям було написане ламаною польською мовою. Того ж дня Служба безпеки України разом з Держспецзв'язку почали збирати цифрові докази та розслідувати хакерську атаку на урядові сайти.
За даними ЗМІ, сайти українського уряду розробляла приватна київська ІТ-компанія Kitsoft (ТОВ «Комп'ютерні інформаційні технології»), через яку, найімовірніше, і здійснили централізовану кібератаку. Центр стратегічних комунікацій та інформаційної безпеки знайшов у атаці «російський слід». Фахівці центру припускають, що дії хакерів пов’язані з нещодавніми переговорами США, НАТО та Росії. Міністерство цифрової трансформації повідомило, що Росія має намір поширити фейки про вразливість критичної інформаційної інфраструктури та «злив» даних українців.
У грудні 2021 року The New York Times повідомляло, що Росія готує масштабну кібератаку на урядові установи, енергосистему та інші стратегічні галузі економіки України. За даними видання, США та Велика Британія таємно відправили до України спеціалістів із кібербезпеки для протидії можливій активізації кіберагресії Росії.
Фото: Tadas Sar / Unsplash