Разделы
Материалы

Не только DDoS: в CERT-UA рассказали, какие еще атаки применили хакеры 15 февраля

Фото: Getty Images

Злоумышленники рассылали сообщения для психологического воздействия на украинцев и на службы безопасности некоторых банков, заявили в службе.

Правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины CERT-UA и киберполиция расследовали серию кибератак на украинские сайты, которые произошли 15 февраля. Результаты анализа представили на официальном сайте.

Как утверждают специалисты, хакерские атаки были направлены в основном на инфраструктурные элементы киберпространства и "отдельные отрасли", а также имели признаки информационно-психологических операций с целью дестабилизировать ситуацию в Украине. Они выделили 5 главных способов, одним из которых стала рассылка SMS-сообщений о фейковом сбое в работе банкоматов государственных банков.

Сообщение о фейковом сбое банкомата
Фото: CERT-UA

Вторым методом, заявляют в CERT-UA, хакеры избрали рассылку сообщений о минировании зданий на адреса электронной почты нескольких банков. Эксперты установили, что такие письма мог отправлять житель Донецкой области, личность которого не раскрывают.

Письмо о минировании
Фото: CERT-UA

Хакеры провели серию распределенных атак на отказ в обслуживании (DDoS) на сайты украинских правительственных структур и банков. CERT-UA вместе с партнерами в ходе исследования выяснили, что в атаках были задействована бот-сети Mirai и Meris, в последнем случае вредоносный информационный поток направляется через тысячи взломанных маршрутизаторов Mikrotik и других устройств с фильтрацией ACL, которая позволяет скрывать их от поисковых систем.

В команде предполагают, что злоумышленники предоставили заказчику DDoS-услугу (DDoS as a Service).

"В связи с тем, что количество подобных устройств насчитывает более 30 000, список IP-адресов распространен среди субъектов координации с помощью платформы MISP", — говорится в сообщении.

Пример настройки прокси-сервера Mikrotik и транзитной передачи информационных потоков

Кроме того, злоумышленники помешали работе веб-ресурсов с доменом gov.ua, проведя DDoS-атаку на обслуживающие DNS-серверы. Несколько серверов доменных имен вывели из строя и пресекли возможность определения IP-адреса, в результате временно пропал доступ ко многим сайтам государственных органов.

Специалисты также заметили подозрительные действия с настройками автономных систем на уровне протокола граничного шлюза (BGP), отвечающего за динамическую маршрутизацию. По данным сервиса Cisco Crosswork, 15 февраля более двух часов префикс 217.117.7.0/24, фактически принадлежащий Inq-Digital-Nigeria-AS, был анонсирован от имени автономной системы "ПриватБанка" через систему нигерийского оператора телекоммуникаций AS37148.

Пример анонсирования префикса 217.117.7.0/24 во время кибератаки

CERT-UA порекомендовала правительственным органам и объектам критической инфраструктуры наладить с ними связь для оперативного обмена информацией в случае будущих инцидентов. Они объяснили, что при реагировании на киберугрозы очень много времени уходит на то, чтобы связаться с жертвой, а также на передачу цифровых доказательств.

15 февраля несколько украинских информационных ресурсов подверглись DDoS-атаке. По данным Госспецсвязи, она затронула сайты "Приватбанка", "Ощадбанка", Минобороны, МВД и ВСУ.

В СБУ предположили, что за DDoS-атаками 15 февраля стоят иностранные спецслужбы. Однако Госспецсвязи не смогло найти доказательств, подтверждающих манипуляции с территории России.

DDoS-атаку 15 февраля могли совершить даже из Украины, об этом рассказал председатель правления Интернет-ассоциации Украины Александр Федиенко. Он объяснил, что для такого типа атак хакеры создают специальные бот-сети.