Экс-глава Киберполиции раскрыл детали хакерской атаки на Украину

К масштабной кибератаке на Украину может быть причастная группа UNC1151. Некоторые тактики, техники и процедуры очень напоминают так называемую операцию Ghostwriter

Сергей Демедюк

Об этом сообщил в комментарии "РБК-Украина" бывший глава Киберполиции Сергей Демедюк, передает "ДС".

"Это кибершпионская группа, аффилированная со спецслужбами Белоруси, которая в своих атаках использует инструментарий под названием credential harvesting (тип атаки, направленный на несанкционированный доступ к почтовым аккаунтам) с последующим распространением вредоносного программного обеспечения", — заявил он.

По словам Демедюка, деятельность хакерской группы в первую очередь направлена на аудиторию в Литве, Латвии, Польши и Украины и информационно имела нарратив, критиковавший присутствие НАТО в Северной Европе.

"В 2021 году мы стали фиксировать, что эта группировка расширила свои нарративы и технические подходы связанные с активностью Ghostwriter. Например, несколько последних операций группа активно использовала скомпрометированные учетные записи польских чиновников правого направления, направленного на усиление внутриполитических разногласий в Польше", — добавил экс-глава Киберполиции.

По его словам, свои операции хакеры проводили преимущественно в Европе на английском и польском языках и отличались по своим векторам, которые не были похожи на обычные действия, использовавшиеся Ghostwriter. К примеру, компрометация государственных сайтов, распространение фейковых заявлений, прямая дезинформация, использование вредоносного программного обеспечение, которое часто используется группой АТР-29, для кражи данных с госреестров и шифрования их серверов.

"Такой же инструментарий был использован и при атаке на государственные сайты 14 января. А именно анализ контента распространенного на польском языке, как и в похожих операциях, совершавшихся в 2021 году указывает, что он создавался исключительно с использованием Google-translate", — заявил Демедюк.

При этом он подчеркнул, что в метаданных картинки, которая была загружена на взломанные ресурсы, остались координаты школы в Польше.

"Очевидно, что этим примитивным методом им не удалось ввести никого в заблуждение, но все же это свидетельство того, что атакующие "играли" на польско-украинских взаимоотношениях", — заявил он.

Демедюк заявил, что вредоносное ПО, которое использовали для шифрования некоторых госсерверов по своим характеристикам похоже на то, что использует группировка APT29.

"В Украине их традиционно интересует внешнеполитическое ведомство, правоохранительные органы. В данный момент рано делать какие-то окончательные выводы. Так же не стоит исключать из подозрений группу Sandworm, ведь деструктивные мероприятия — это их любимый метод достижения цели, — добавил экс-глава Киберполиции.

Он также не исключил необходимость проверки фактов возможного объединения хакерских групп для атак против Украины.

"Это и остается выяснить во время расследования пятничной атаки, которое проводят правоохранительные и специальные органы Украины", — добавил Демедюк.

Как писала "ДС", в ночь на пятницу, 14 января, сайт Министерства образования и науки Украины сломали неизвестные. Злоумышленники разместили угрозы и провокационные заявления на трех языках – украинском, русском и польском, в котором угрожают украинцам местью за "Волынь, ОУН УПА, Галицию и исторические территории". Кроме того, в сообщении указали, что хакеры украли личные данные украинских граждан.

Также хакерской атакой взломали сайты Кабинета министров, Минагрополитики, Министерства иностранных дел, портала "Дія" и ряда других ведомств.

СБУ вместе с Госспецсвязью и Киберполицией продолжает расследовать кибератаку на сайты органов государственной власти.