CERT-UA опублікувала фрагмент дослідження кібератак 14 січня

На сайті Урядової команди реагування на надзвичайні комп’ютерні події CERT-UA опубліковано фрагмент дослідження кібератак 14 січня з технічною інформацією про подію.

хакер

“У деяких випадках з метою порушення штатного режиму функціонування інформаційно-телекомунікаційних (автоматизованих) систем на завершальному етапі кібератаки зловмисниками було здійснено шифрування або видалення даних. Для цього застосовано щонайменше два різновиди шкідливих програм деструктивного характеру, а саме: BootPatch (запис шкідливого коду в MBR жорсткого диску з метою його незворотної модифікації) і WhisperKill (перезапис файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ), або видалення даних здійснювалося шляхом ручного видалення віртуальних машин”, – зазначаюсть експерти.

У документі говориться, що найбільш вірогідним вектором реалізації кібератаки є компрометація ланцюга постачальників (supply chain), що дозволило використати наявні довірчі зв’язки для виведення з ладу пов’язаних інформаційно-телекомунікаційних та автоматизованих систем. Водночас не відкидаються ще два можливих вектори атаки, а саме – експлуатація вразливостей OctoberCMS та Log4j.

Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA вжила заходів зі збору цифрових доказів, вивчення зразків шкідливих програм і проведення комп’ютерно-технічних досліджень, в тому числі – відновлення інформації після її навмисного знищення. Наразі триває аналіз даних та дослідження обставин кіберінцидентів.

Рекомендації CERT-UA

  • Переглянути порядок підключення співробітників і/або обладнання компаній-постачальників до корпоративних мереж, виходячи з принципу мінімальної достатності привілеїв, фільтрації (ізоляції) інформаційних потоків та безумовної необхідності використання багатофакторної автентифікації.
  • Обмежити доступ до засобів адміністрування вебресурсів, у т. ч. панелей керування CMS, а також серверного обладнання (фільтрація на мережевому рівні, сертифікати, багатофакторна автентифікація).
  • Забезпечити контроль (фільтрацію) вихідних інформаційних потоків (т. зв. egress filtering).
  • Забезпечити централізоване збирання, оброблення та зберігання (часова ємність – не менше року) журнальних файлів із застосуванням відповідних систем (SIEM). Реалізувати та підтримувати в актуальному стані відповідно моделі загроз автоматизований моніторинг подій з метою виявлення аномалій.
  • З метою виявлення фактів можливого втручання в роботу інформаційних систем здійснити перевірку мережевої активності та активності на хостах згідно вказаних індикаторів компрометації.

Більше про кібербезпеку

Дивіться огляди:

-->