Microsoft розкрила деталі хакерської атаки на українські держустанови

У ніч з 13 на 14 січня відбулася хакерська атака на українські держустанови, яка вивела з ладу близько 70 сайтів та систем. Microsoft Threat Intelligence Center (MSTIC) опублікував перші результати свого розслідування, які проливають світло на те, як була здійснена атака.

На цей час слідчі групи Microsoft виявили зловмисне програмне забезпечення в десятках уражених систем, і ця кількість може зростати в міру продовження розслідування. Ці системи охоплюють декілька державних, некомерційних та інформаційно-технологічних організацій, які базуються в Україні. В MSTIC поки що не знають поточного етапу операції зловмисників або того, скільки інших організацій-жертв може існувати в Україні чи інших географічних місцях. Однак в компанії зазначають малоймовірним, що постраждалі системи показують весь масштаб впливу, як повідомляють інші організації.

Саму атаку вдалося здійснити через зараження комп’ютерів зловмисним програмним забезпеченням, що було замасковано під програму-вимагач. На першому етапі вона перезаписувала Master Boot Record, щоб показати підробне повідомлення про викуп. Файли зловмисного ПЗ розташовувалися в різних робочих каталогах, включаючи C:\PerfLogs, C:\ProgramData, C:\ і C:\temp, і часто мали назву stage1.exe. В спостережуваних вторгненнях зловмисне програмне забезпечення виконувалося через Imppacket, набір класів Python для роботи з мережевими протоколами, загальнодоступною можливістю, яка часто використовується для атак.

Повідомлення про викуп містило біткоїн-гаманець і Tox ID (унікальний ідентифікатор облікового запису, який використовується в протоколі обміну повідомленнями, зашифрованим Tox), які раніше не спостерігалися MSTIC:

Ваш жорсткий диск пошкоджено.
Якщо ви хочете відновити всі жорсткі диски
вашої організації,
ви повинні заплатити нам $10 тисяч через біткоїн гаманець
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv та надіслати повідомлення через ідентифікаційний номер 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
з назвою вашої організації.
Ми зв’яжемося з вами, щоб надати подальші інструкції.

Зловмисне програмне забезпечення запускалося, коли пов’язаний пристрій вимикався. В MSTIC зазначають, що перезапис MBR є нетиповим для кіберзлочинних програм-вимагачів. Проте насправді повідомлення про програму-вимагач було хитрістю, і зловмисне ПЗ знищувало MBR і вміст файлів, на які було націлене.

Другим етапом операції був запуск програми для завантаження шкідливого програмного забезпечення Stage2.exe – «деструктора», який пошкоджує файли. Після його виконання завантажувалося зловмисне ПЗ наступного етапу, розміщене на каналі Discord. Після виконання в пам’яті воно знаходило файли в певних каталогах системи та перезаписувало їхній вміст фіксованою кількістю байтів 0xCC (загальний розмір файлу 1 МБ). Після перезапису «деструктор» перейменовував кожен файл із, здавалося б, випадковим чотирибайтовим розширенням. Аналіз цього шкідливого програмного забезпечення триває.

Окремо, топ-спеціаліст з кібербезпеки приватного сектора в Києві розповів Associated Press, що зловмисники проникли в державні мережі через спільного постачальника програмного забезпечення в рамках так званої атаки на ланцюжок поставок у стилі російської кампанії кібершпигунства SolarWinds 2020 року, ціллю якої був уряд США.

Заступник секретаря РНБО Сергій Демедюк, якого цитує Reuters, повідомив, що хакерська група, пов’язана з білоруською розвідкою, використовувала шкідливе програмне забезпечення, подібне до того, яке використовує російська розвідка.

Демедюк також заявив Reuters, що дефейс (тип хакерської атаки, при якій сторінка вебсайту замінюється на іншу) «був лише прикриттям для більш руйнівних дій, які відбувалися за лаштунками, і наслідки яких ми відчуємо найближчим часом».

Олег Дерев’янко, провідний експерт у приватному секторі та засновник фірми з кібербезпеки ISSP, сказав AP, що не знає, наскільки серйозною була шкода. Він також сказав, що невідомо, чого ще могли досягти зловмисники після проникнення в KitSoft — розробника, якого використовували для поширення шкідливого програмного забезпечення.

Нагадаємо, що у 2017 році Росія здійснила одну з найбільш руйнівних кібератак на Україну з вірусом NotPetya, завдавши збитків на понад $10 мільярдів у всьому світі. Цей вірус, також замаскований під програму-вимагач, був так званим «стиральником», який стирав цілі мережі.