Цитата:
“Станом на 14:00 сьогоднішнього дня відновили роботу майже всі сайти, які постраждали від кібератаки на державні інформаційні ресурси в ніч на п’ятницю. Розслідування та робота над відновленням решти ресурсів триває”, — йдеться в повідомленні.
Деталі
Зазначається, що версія щодо використання програми-вайпера, що знищує дані, перевіряється. Для цього Держспецзв’язку взаємодіє з компанією Microsoft у межах укладеної влітку угоди про співробітництво Government Security Program.
Водночас вказано, що "вже зараз можна стверджувати про значно вищу складність атаки, ніж модифікація стартової сторінки вебсайтів". Низка зовнішніх інформаційних ресурсів було знищено зловмисниками в ручному режимі. Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню чисельність, додали у Держспецзв’язку.
“Зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливостей OctoberCMS та Log4j. Також, починаючи з п’ятниці, фіксуються DDOS-атаки на низку постраждалих органів державної влади. Робоча група залучила міжнародних експертів з метою достовірного встановлення джерела походження атаки”, — відзначили у Держспецзв’язку.
Також у службі зазначили, що сьогодні о 8 ранку на сторінці форуму Prozorro Infobox з’явилося повідомлення, аналогічне тим, що були використані під час кібератаки на інші державні сайти 14 січня. Наразі сторінка вимкнена, а фахівці проводять розслідування та працюють над оперативним відновленням роботи форуму.
“Форум Prozorro Infobox є окремою системою, яка не пов’язана із системою закупівель Prozorro. За наявною інформацією, ані інформаційний ресурс Prozorro Infobox, ані сам портал Prozorro не постраждали. Система публічних закупівель працює у штатному режимі”, — відзначили у Держспецзв’язку.
Контекст
У ніч з 13 на 14 січня було здійснено хакерську атаку на низку урядових сайтів, зокрема МЗС, МОН та інші.
Не працювали сайти Міністерства закордонних справ та Міненерго, ДСНС та МОН. ЗМІ писали про те, що сайт КМУ також заблоковано, однак станом на 8:30 14 січня працював доступ до урядової сторінки. Сайт "Дії" також "лежав".
Зловмисники на головних сторінках цих сайтів розмістили повідомлення провокаційного характеру. При цьому в мережі шириться начебто заява самих хакерів, у якій стверджується, що “усі ваші особисті дані були завантажені у загальну мережу”.
Роботу більшої частини атакованих державних ресурсів вже відновлено. Контент сайтів при цьому залишився без змін, і витоку персональних даних не відбулося, інші сайти відновлять роботу найближчим часом, вказують у СБУ та Мінцифрі.
Зараз Держспецзв'язку спільно зі Службою безпеки України та кіберполіцією збирає цифрові докази та займається розслідуванням інциденту.