Українські урядові сайти порушено через DDoS, виявлено зловмисне програмне забезпечення Wiper
Державна служба спеціального зв'язку та захисту інформації України заявила, що кілька офіційних урядових сайтів і банків зазнали «масової DDoS-атаки», оскільки країна готується до потенційного вторгнення Росії.
Це вже друга атака на державні сайти в Україні, оскільки в січні сайти МЗС та інших державних установ були мішенню хакерів.
Державна служба спеціального зв’язку та захисту інформації та організація Netblocks, яка відстежує збої в Інтернеті в усьому світі, підтвердили, що сайти Міноборони, МЗС, МВС, Служби безпеки (СБУ) та Кабміну зіткнулися з відключеннями.
Серед інших цілей – ПриватБанк, одна з найбільших фінансових установ в Україні, та Ощадбанк, Державний ощадний банк України, які борються з відключеннями.
Після атаки сайт ПриватБанку не працював, а на екрані з’явилося повідомлення «WAF спостерігає за вами».
Скріншот повідомлення на сайті Приватбанку після атаки. (Зображення: мережеві блоки)
За даними Cloudflare, нечаста активність DDoS в Україні; проте спостерігається зростання активності в порівнянні з минулим тижнем.
«В Україні були атаки на окремі веб-сайти, які були руйнівними… Поки що вони були відносно скромними в порівнянні з великими DDoS-атаками, які ми застосовували в минулому».
Служба спеціального зв’язку та захисту інформації повідомляє, що веб-сайти низки установ та державних структур в Україні постраждали від масової DDoS-атаки. Деякі системи все ще недоступні, тоді як інші веб-сайти протистояли атаці та знову підключені до мережі.
"Наразі Державна служба спеціального зв'язку та захисту інформації України та інші суб'єкти національної системи кібербезпеки працюють над протидією атакам, збором та аналізом інформації", – повідомили в комісії.
За даними дослідників ESET, під час атаки на українські сайти було використано нове «зловмисне програмне забезпечення для очищення даних». Згідно з повідомленням, зловмисне програмне забезпечення було встановлено на сотні пристроїв у країні.
«Склоочисник зловживає законними драйверами програмного забезпечення EaseUS Partition Master, щоб пошкодити дані. В якості останнього кроку склоочисник перезавантажує комп’ютер», — сказав ESET.
Далі було помічено, що на одному з веб-сайтів, які були націлені на зловмисне програмне забезпечення, wiper було встановлено за допомогою GPO за замовчуванням. Це означає, що зловмисники вже взяли під контроль сервер Active Directory, що дозволило легко перенести зловмисне програмне забезпечення на пристрої.
За різними даними, кібератака почалася близько 16:00 за місцевим часом, коли в парламенті розпочалося обговорення питання про введення надзвичайного стану в Україні. Коли російські війська просунулися у східні частини країни, захопивши два міста, український уряд ввів у країні надзвичайний стан на 30 днів.
Багато державних чиновників також стали жертвами кібератак. За повідомленнями місцевих журналістів, голова парламенту Руслан Стефанчук та його родина постраждали від кібератак. Хакери робили численні спроби зламати його акаунти електронної пошти, заблокувати банківські картки тощо. Спроба ввійти в його обліковий запис була зроблена з Росії.
Враховуючи нинішню напруженість між Росією та Україною та зростання кібератак в країні, міжнародні організації уважно стежать за ситуацією. У Міністерстві закордонних справ, Співдружності та розвитку Великобританії заявили, що Головне управління розвідки Росії (ГРУ) причетне до нещодавньої атаки на сайти українського уряду.
Енн Нойбергер, заступник радника з питань кібербезпеки США з національної безпеки, сказала, що технічна інформація показує, що «інфраструктура ГРУ передає великі обсяги зв’язку на українські IP-адреси та домени».
За даними Групи реагування на надзвичайні ситуації в комп’ютерній системі України (CERT-UA), нещодавні DDoS-атаки використовували як ботнети Mirai, так і Meris з додатковою кампанією дезінформації за допомогою SMS.
Крістіан Соренсен, колишній керівник міжнародної команди з кібервійни в US Cybercom, сказав, що мета цих DDoS-атак і кібератак – посилити тиск і напругу в країні.
«Поки що це не схоже на великий вплив. У найближчі години/дні я очікую більше заходів для ізоляції та перешкоджання громадянам України і особливо діяльності уряду», – сказав Соренсен.
Головна мета всього цього – спричинити хаос у країні та зробити людей та владу невпевненими у своїх діях. Це лише перший етап, оскільки наступний етап може мати більший вплив і ускладнить втручання інших країн.
У світлі нинішньої напруженості та загрози потенційного вторгнення Росії в Україну, DHS в США, NCSC у Великобританії та ACSC в Австралії попередили компанії, щоб вони посилили свою кібербезпеку та готувалися до потенційних кібератак у разі втручання НАТО в Україну. Захід також ввів санкції проти Росії після ескалації кризи в Україні.