В Госспецсвязи получали предупреждения о возможных кибератаках накануне 14 января
В Госспецсвязи сообщили, что получали предупреждения о возможных кибератаках накануне 14 января и уже вынесли урок из ситуации.
Об этом сказал на брифинге заместитель председателя Госспецсвязи Виктор Жора, передает корреспондент Укринформа.
«Мы получали предупреждения о возможных кибератаках. Но в ночь с 13 на 14 января произошла атака, которую трудно было предвидеть. В то же время мы вынесли определенные уроки из этой ситуации», — сказал Жора.
Он сообщил, что произошло изменение главной страницы около 90 государственных сайтов. Около 30 сайтов были в ручном режиме отключены, то есть они не пострадали. Работа других была восстановлена
Он также сообщил, что получено подтверждение, что внешняя структура ряда ведомств уничтожалась в ручном режиме. «У нас есть данные касательно менее 10 организаций, в которых пострадало нечто большее, чем веб-сайт».
Жора подчеркнул, что это первая атака, которая направлена была исключительно на государственные органы, и заметил, что «первое сообщение в официальных СМИ о кибератаке появилось на страницах российских информагентств, где-то в 3 ноча по киевскому времени».
Заместитель председателя обратил внимание, что те сайты, которые имели резервные копии, быстро возобновили работу. Остальные пострадали в зависимости от эффективности системы защиты, которые были построены. «Для того чтобы был иммунитет, должно быть понимание, что это произойдет. Должна быть построена система защиты. Госспецсвязи готова помочь в этом». Он сообщил, что Госспецсвязи формирует рынок услуг киберзащиты в Украине.
Как сообщалось, Госспецсвязи опубликовал часть расследования кибератаки на правительственные сайты 14 января, в котором говорится, что для уничтожения данных использовали по меньшей мере две программы. BootPatch (запись вредоносного кода в MBR жесткого диска с целью его необратимой модификации) и WhisperKill (перезапись файлов по определенному списку расширений последовательностью байт 0xCC длиной 1МБ), или удаление данных производилось путем ручного удаления виртуальных машин.
Наиболее вероятным вектором реализации кибератаки является компрометация цепи поставщиков (supply chain), что позволило использовать доверительные связи для выведения из строя связанных информационно-телекоммуникационных и автоматизированных систем. В то же время не исключаются еще два возможных вектора атаки, а именно – эксплуатация уязвимостей OctoberCMS и Log4j.
По имеющимся данным, упомянутая кибератака планировалась заранее и проводилась в несколько этапов, в т. ч. с применением элементов провокации.
