Взлом правительственных сайтов: хакеры использовали две вредоносные программы

Софт повредил MBR раздел жестких дисков, а также нарушил последовательность хранения на них файлов

Фото: fortune.com

Госспецсвязи обнародовало некоторые материалы дела касательно кибератаки на правительственные ресурсы 14 января. В них утверждается, что для уничтожения данных были применены как минимум две хакерские программы. Принцип их работы заключался в шифровании или принудительном удалении файлов с жестких дисков. В частности, сообщается о программах BootPatch и WhisperKill.

Первая осуществляет запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации. Софт перезаписывает содержание секторов диска таким образом, что восстановить информацию практически невозможно. Вторая программа WhisperKill выполняет перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ.

В госведомстве говорят, что атака на сайты министерств, вероятно, была осуществлена при помощи метода компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем. В то же время не исключаются еще два возможных направления атаки – эксплуатация уязвимостей OctoberCMS и Log4j.

В ходе взлома сетей главные страницы сайтов-жертв заменялись на фальшивые, доступ к другим страницам ограничивался, а контент портала безвозвратно удалялся. Также в скриптах интернет-страниц сотрудниками безопасности были обнаружены фрагменты вирусов для удаленного управления.

СПРАВКА PAYSPACE MAGAZINE

Федеральное бюро расследований опубликовало отчет, в котором говорится, что киберпреступники все чаще подделывают QR-коды для кражи информации и денежных средств. Сотрудники ведомства фиксируют растущее число кибератак, при которых преступники используют эту технологию, привязывая QR-коды к вредоносным сайтам, где у пользователей похищаются их платежные и личные данные, либо на смартфоны жертв внедряется вредоносное ПО для получения доступа к контенту.

ЧИТАЙТЕ ТАКЖЕ: Регулятор внес десять компаний в список сомнительных инвестпроектов

По материалам сайта cert.gov.ua