T.me Центр разведки угроз Microsoft (MSTIC) выявил свидетельства внедрения разрушительного вредоносного программного обеспечения (ПО) в системы множества организаций в Украине. Об этом говорится в уведомлении пресс-службы Microsoft, распространенном в субботу, 15 января.
По оценке MSTIC, вредоносная программа, внешне похожая на вирус-вымогатель, но не имеющая механизма восстановления после получения оплаты, предназначена для выведения из строя целевых устройств, а не для получения выкупа.
Как при этом отмечает агентство AP, массированная кибератака на украинские правительственные сайты, о которой стало известно 14 января, могла быть лишь отвлекающим маневром.
Затронуты правительственные учреждения, НКО и IT-организации Украины
Специалисты Microsoft обнаружили вредоносное ПО на десятках систем в правительственных, некоммерческих и информационно-технологических организациях Украины. Эксперты пока не знают, на какой стадии находится оперативный цикл киберпреступников и сколько объектов пострадали в Украине, а, возможно, и в других странах. Пока полный масштаб атаки не выявлен, констатируют в организации.
Вредоносная программа запускается, когда соответствующее устройство выключается, уточнили в MSTIC. При этом может произойти уничтожение части жесткого диска (MBR) и файлов, на которые она нацелена.
В комментарии агентству Reuters по поводу кибератак 14 января Сергей Демедюк, заместитель секретаря Совета национальной безопасности и обороны (СНБО) Украины, ранее возглавлявший Киберполицию, отмечал, что нападения на сайты могут служить прикрытием для «более деструктивных действий», последствия которых станут ощутимы в ближайшее время.
По версии Демедюка, за атаками 14 января могут стоять хакеры из группы UNC1151, специализирующиеся на кибершпионаже и «связанные со спецслужбами Республики Беларусь».
Представители Службы безопасности Украины (СБУ) отмечали, что всего в ночь на 14 января было атаковано более 70 государственных сайтов, десять из которых подверглись несанкционированному вмешательству. Контент при этом, однако, изменен не был, а утечки персональных данных не произошло. По данным специалистов, с наибольшей вероятностью имела место так называемая supply chain attack («атака через цепочку поставок»). Киберпреступники взломали инфраструктуру коммерческой компании, имевшей доступ к правам администрирования ресурсов, которые пострадали в результате нападения.
Представитель МИД Украины Олег Николенко написал в Twitter, что у СБУ есть предварительные данные, позволяющие предположить, что за массированной кибератакой на правительственные сайты в ночь с 13 на 14 января могут стоять хакерские группировки, связанные с российскими спецслужбами.
Пресс-секретарь Владимира Путина Дмитрий Песков в интервью CNN, в свою очередь отметил, что Москва «не имеет никакого отношения к этим кибератакам». «Мы почти что привыкли к тому, что украинцы во всем винят Россию, даже в плохой погоде у себя», — добавил он.
В послужном списке группы UNC1151, по данным экспертов, есть нападения на Литву, Латвию, Польшу и Украину. Кроме того, киберпреступники распространяли материалы, осуждающие присутствие альянса НАТО в Европе, отмечали в СНБО.
В ночь на 14 января в Украине перестали работать сайты правительства, МИД, министерства образования и науки, Минэнерго, Минагрополитики, министерства по делам ветеранов, Госказначейства и госуслуг «Дія». На ряде порталов была размещена картинка с текстом на украинском, русском и польском языках с угрозами в адрес жителей Украины. По оценкам экспертов, речь шла о самой массированной кибератаке за последние четыре года.
На этом фоне стало известно, что ЕС созовет встречу Комитета по вопросам политики и безопасности, а также представителей киберподразделений Евросоюза, чтобы решить, как помочь Украине отреагировать на кибератаку, и какое техническое содействие Брюссель может предоставить Киеву для повышения его способности сопротивляться таким нападениям.
Об этом сообщил верховный представитель ЕС по иностранным делам и политике безопасности Жозеп Боррель во французском Бресте, где проходила неформальная встреча глав МИД и министров обороны ЕС. «Я не могу никого обвинять, так как у меня нет доказательств, но мы можем представить», кто стоит за атакой, отметил глава европейской дипломатии.
Генсек Североатлантического альянса Йенс Столтенберг в свою очередь заявил, что НАТО и Украина в ближайшие дни подпишут соглашение об усилении сотрудничества в сфере кибербезопасности.