Кибератака на госсайты: для уничтожения данных использовали две программы

Госспецсвязи опубликовало часть расследования кибератаки на правительственные сайты 14 января, в котором говорится, что для уничтожения данных использовали по меньшей мере две программы.

Об этом сообщила пресс-служба Госспецсвязи.

Служба подтвердила, что для нарушения работы систем злоумышленники произвели шифрование или удаление данных: либо вручную (путем удаления виртуальных машин), либо с применением по меньшей мере двух разновидностей вредоносных программ:

Как предварительно выяснили специалисты, вероятнее всего, кибератаку выполнили путем компрометации цепи поставщиков (supply chain). Это позволило использовать существующие доверительные связи для выведения из строя связанных систем. 

В то же время не отбрасываются еще два возможных вектора атаки – эксплуатация уязвимостей OctoberCMS и Log4j.

По имеющимся данным, упомянутая кибератака планировалась заранее и производилась в несколько этапов, в т. ч. с применением элементов провокации.

Преимущественно правительственные сайты испытали дефейс, при котором главная страница заменяется на другую, а доступ ко всему остальному сайту блокируется, или прежнее содержимое сайта удаляется.

Таких атак обнаружили две: главную страницу либо полностью заменяли, либо в код сайта добавляли скрипт, уже осуществлявший замену контента.

С этой целью злоумышленники утром 14 января из сети TOR получили доступ к панелям управления веб-сайтов ряда организаций. Также в ходе исследования скомпрометированных систем была обнаружена подозрительная активность с использованием легитимных аккаунтов.

Дополнительное изучение обнаруженного IP-адреса 179.43.176[.]38 позволило Службе идентифицировать копию веб-каталога на 14 января, с которого, вероятно, производилась загрузка других файлов в рамках