Правительственные сайты Украины нарушены DDoS-атакой, обнаружено вредоносное ПО Wiper
Государственная служба специальной связи и защиты информации Украины заявила, что несколько официальных государственных сайтов и банков подверглись «массированной DDoS-атаке», поскольку страна готовится к потенциальному вторжению России.
Это уже вторая атака на государственные сайты в Украине, так как в январе хакеры атаковали сайты Министерства иностранных дел и других госорганов .
Государственная служба специальной связи и защиты информации и Netblocks, организация, отслеживающая перебои с интернетом по всему миру, подтвердили, что сайты Минобороны, МИД, МВД, Службы безопасности (СБУ) и Кабмина столкнулся с отключениями.
Другие цели включают ПриватБанк, одно из крупнейших финансовых учреждений в Украине, и Ощадбанк, Государственный сберегательный банк Украины, оба из которых борются с перебоями в работе.
После атаки сайт ПриватБанка не работал, а на экране появилось сообщение «WAF следит за вами».
Скриншот сообщения на сайте Приватбанка после атаки. (Изображение: сетевые блоки)
По данным Cloudflare, нечастая DDoS-активность в Украине; однако по сравнению с прошлой неделей активность увеличилась.
«В Украине были атаки на отдельные веб-сайты, которые были разрушительными… До сих пор они были относительно скромными по сравнению с крупными DDoS-атаками, с которыми мы сталкивались в прошлом».
В сообщении Службы специальной связи и защиты информации говорится, что веб-сайты ряда учреждений и государственных структур Украины пострадали от массированной DDoS-атаки. Некоторые системы по-прежнему недоступны, в то время как другие веб-сайты выдержали атаку и снова в сети.
«В настоящее время Государственная служба специальной связи и защиты информации Украины и другие субъекты национальной системы кибербезопасности работают над противодействием атакам, сбором и анализом информации», — сообщили в комиссии.
По словам исследователей ESET, для атаки на украинские сайты использовалось новое вредоносное ПО для удаления данных . Согласно отчету, вредоносное ПО было установлено на сотни устройств в стране.
«Стиратель использует законные драйверы из программного обеспечения EaseUS Partition Master для повреждения данных. В качестве последнего шага стеклоочиститель перезагружает компьютер», — сказали в ESET.
Кроме того, было замечено, что на одном из веб-сайтов, подвергшихся атаке вредоносного ПО, очиститель был установлен через объект групповой политики по умолчанию. Это означает, что злоумышленники уже получили контроль над сервером Active Directory, что упростило установку вредоносного ПО на устройства.
По разным данным, кибератака началась около 16:00 по местному времени, одновременно с началом обсуждения в Верховной Раде введения чрезвычайного положения в Украине. Когда российские войска двинулись в восточные районы страны, захватив два города, украинское правительство ввело в стране чрезвычайное положение на 30 дней.
Многие государственные чиновники также стали жертвами кибератак. По сообщениям местных журналистов, кибератакам подверглись председатель парламента Руслан Стефанчук и его семья. Хакеры предприняли многочисленные попытки взломать его учетные записи электронной почты, заблокировать банковские карты и многое другое. Попытка войти в его аккаунт была предпринята из России.
Учитывая нынешнюю напряженность между Россией и Украиной и рост числа кибератак в стране, международные организации внимательно следят за ситуацией. Министерство иностранных дел, по делам Содружества и развития Великобритании заявило, что к недавней атаке на правительственные сайты Украины причастно Главное разведывательное управление России (ГРУ).
Энн Нойбергер, заместитель советника по национальной безопасности США по кибербезопасности, сказала, что техническая информация показывает, что «инфраструктура ГРУ передала большие объемы связи на украинские IP-адреса и домены».
По данным Группы реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA), в недавних DDoS-атаках использовались ботнеты Mirai и Meris с дополнительной SMS-кампанией по дезинформации.
Кристиан Соренсен, бывший руководитель международной группы по кибервойне в US Cybercom, заявил, что цель этих DDoS и кибератак — нагнетание давления и напряженности в стране.
«Это пока не похоже на сильное влияние. В ближайшие часы/дни я ожидаю новых действий по изоляции и подрыву деятельности граждан Украины и особенно деятельности правительства», — сказал Соренсен.
Основная цель всего этого — вызвать хаос в стране и сделать народ и правительство неуверенными в своих действиях. Это только первый этап, так как следующий этап может оказаться более действенным и затруднить вмешательство других стран.
В свете текущей напряженности и угрозы потенциального российского вторжения в Украину DHS в США, NCSC в Великобритании и ACSC в Австралии предупредили компании о необходимости усилить свою кибербезопасность и подготовиться к потенциальным кибератакам в случае вмешательства НАТО в Украине. Запад также ввел санкции против России после эскалации украинского кризиса.