Софт пошкодив MBR розділ жорстких дисків, а також порушив послідовність зберігання файлів
Держспецзв’язку оприлюднило деякі матеріали справи щодо кібератаки на урядові ресурси 14 січня. В них стверджується, що для знищення даних було застосовано як мінімум дві хакерські програми. Принцип їхньої роботи полягав у шифруванні чи примусовому видаленні файлів із жорстких дисків. Зокрема, повідомляється про програми BootPatch та WhisperKill.
Перша здійснює запис шкідливого коду MBR жорсткого диска з метою його незворотної модифікації. Софт перезаписує вміст секторів диска таким чином, що відновити інформацію практично неможливо. Друга програма WhisperKill виконує перезаписування файлів за певним списком розширень послідовністю байт 0xCC довжиною 1МБ.
У держвідомстві кажуть, що атаку на сайти міністерств, ймовірно, було здійснено за допомогою методу компрометації ланцюга постачальників (supply chain). Це дозволило використовувати існуючі зв’язки виведення з ладу пов’язаних систем. Водночас не виключаються ще два можливі напрямки атаки – експлуатація вразливостей OctoberCMS та Log4j.
Під час злому мереж головні сторінки сайтів-жертв замінювалися на фальшиві, доступ до інших сторінок обмежувався, а контент порталу безповоротно видалявся. Також у скриптах інтернет-сторінок співробітниками безпеки були виявлені фрагменти вірусів для віддаленого керування.
ДОВІДКА PAYSPACE MAGAZINE
Федеральне бюро розслідувань опублікувало звіт, в якому говориться, що кіберзлочинці все частіше підробляють QR-коди для крадіжки інформації та коштів. Співробітники відомства фіксують зростаюче число кібератак, при яких злочинці використовують цю технологію, прив’язуючи QR-коди до шкідливих сайтів, де у користувачів викрадають їх платіжні та особисті дані, або на смартфони жертв впроваджується шкідливе програмне забезпечення для отримання доступу до контенту.
ЧИТАЙТЕ ТАКОЖ: Регулятор вніс десять компаній до списку сумнівних інвестпроєктів
За матеріалами сайту cert.gov.ua