Ексглава Кіберполіції розкрив деталі атаки хакерів на Україну

Про це повідомив у коментарі "РБК-Україна" колишній глава Кіберполіції Сергій Демедюк, передає "ДС".

"Це кібершпигунська група, афілійована зі спецслужбами Білорусі, яка у своїх атаках використовує інструментарій під назвою credential harvesting (тип атаки, спрямований на несанкціонований доступ до поштових акаунтів) з подальшим поширенням шкідливого програмного забезпечення", — заявив він.

За словами Демедюка, діяльність хакерської групи в першу чергу спрямована на аудиторію в Литві, Латвії, Польщі та Україні та інформаційно мала наратив, який критикував присутність НАТО в Північній Європі.

"У 2021 році ми стали фіксувати, що це угруповання розширило свої наративи і технічні підходи пов'язані з активністю Ghostwriter. Наприклад, кілька останніх операцій група активно використовувала скомпрометовані облікові записи польських чиновників правого напрямку, спрямованого на посилення внутрішньополітичних розбіжностей у Польщі", — додав екс-глава кіберполіції.

За його словами, свої операції хакери проводили переважно в Європі англійською та польською мовами і відрізнялися за своїми векторами, які не були схожі на звичайні дії, що використовувалися Ghostwriter. Наприклад, компрометація державних сайтів, поширення фейкових заяв, пряма дезінформація, використання шкідливого програмного забезпечення, яке часто використовується групою АТР-29, для крадіжки даних з держреєстрів і шифрування їх серверів.

"Такий же інструментарій був використаний і при атаці на державні сайти 14 Січня. А саме аналіз контенту поширеного польською мовою, як і в схожих операціях, що відбувалися в 2021 році вказує, що він створювався виключно з використанням Google-translate", — заявив Демедюк.

При цьому він підкреслив, що в метаданих картинки, яка була завантажена на зламані ресурси, залишилися координати школи в Польщі.

"Очевидно, що цим примітивним методом їм не вдалося ввести нікого в оману, але все ж це свідчення того, що Атакуючі "грали" на польсько-українських взаєминах", — заявив він.

Демедюк заявив, що шкідливе ПЗ, яке використовували для шифрування деяких держсерверів за своїми характеристиками схоже на те, що використовує угруповання APT29.

"В Україні їх традиційно цікавить зовнішньополітичне відомство, правоохоронні органи. Наразі рано робити якісь остаточні висновки. Так само не варто виключати з підозр групу Sandworm, адже деструктивні заходи — це їх улюблений метод досягнення мети, — додав екс-глава кіберполіції.

Він також не виключив необхідність перевірки фактів можливого об'єднання хакерських груп для атак проти України.

"Це і залишається з'ясувати під час розслідування п'ятничної атаки, яке проводять правоохоронні та спеціальні органи України", — додав Демедюк.

Як писала "ДС", у ніч проти п'ятниці, 14 січня, сайт Міністерства освіти і науки України зламали невідомі. Зловмисники розмістили погрози та провокаційні заяви трьома мовами – українською, російською та польською, у якому погрожують українцям помстою за "Волинь, ОУН УПА, Галичину та історичні території". Крім того, у повідомленні зазначили, що хакери вкрали особисті дані українських громадян.

Також хакерської атаки зламали сайти Кабінету міністрів, Мінагрополітики, Міністерства закордонних справ, порталу "Дія" та низки інших відомств.

СБУ разом з Держспецзв'язку та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади.