У Держспецзв'язку отримували попередження про можливі кібератаки напередодні 14 січня
У Держспецзв'язку повідомили, що отримували попередження про можливі кібератаки напередодні 14 січня і вже винесли урок з ситуації.
Про це сказав на брифінгу заступник голови Держспецзв'язку Віктор Жора, передає кореспондент Укрінформу.
«Ми отримували попередження про можливі кібератаки. Але в ніч з 13 на 14 січня сталась атака, яку важко було передбачити. У той же час ми винесли певні уроки з цієї ситуації», сказав Жора.
Він повідомив, що відбулась зміна головної сторінки близько 90 державних сайтів. Близько 30 сайтів були у ручному режимі відключені, тобто вони не постраждали. Робота інших була відновлена
Він також повідомив, що було отримано підтвердження, що зовнішня структура низки відомств знищувалась у ручному режимі. «Ми маємо дані, щодо менше 10 організацій в яких постраждало щось більше ніж веб сайт».
Жора наголосив, що це - перша атака, яка направлена була виключно на державні органи, і зауважив, що «перше повідомлення в офіційних ЗМІ щодо кібератаки з’явилось на сторінках російських інформагенцій, десь о 3 ночі за київським часом».
Заступник голови звернув увагу, що ті сайти, які мали резервні копії швидко відновили роботу. Інші постраждали у залежності від ефективності системи захисту, які були побудовані. «Для того щоб був імунітет має бути розуміння що це станеться. Має бути побудована система захисту. Держспецзв'язку готова допомогти у цьому». Він повідомив, що Держспецзв'язку формує ринок послуг кіберзахисту в Україні.
Як повідомлялось, Держспецзв’язку опублікував частину розслідування кібератаки на урядові сайти 14 січня, у якому йдеться про те, що для знищення даних використовували щонайменше дві програми. BootPatch (запис шкідливого коду в MBR жорсткого диску з метою його незворотної модифікації) і WhisperKill (перезапис файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ), або видалення даних здійснювалося шляхом ручного видалення віртуальних машин.
Найбільш вірогідним вектором реалізації кібератаки є компрометація ланцюга постачальників (supply chain), що дозволило використати наявні довірчі зв’язки для виведення з ладу пов’язаних інформаційно-телекомунікаційних та автоматизованих систем. Водночас не відкидаються ще два можливих вектори атаки, а саме – експлуатація вразливостей OctoberCMS та Log4j.
За наявними даними, згадана кібератака планувалася заздалегідь і проводилася у кілька етапів, в т. ч. із застосуванням елементів провокації.