Не только DDoS: в CERT-UA рассказали, какие еще атаки применили хакеры 15 февраля

Правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины CERT-UA и киберполиция расследовали серию кибератак на украинские сайты, которые произошли 15 февраля. Результаты анализа представили на официальном сайте.

Как утверждают специалисты, хакерские атаки были направлены в основном на инфраструктурные элементы киберпространства и «отдельные отрасли», а также имели признаки информационно-психологических операций с целью дестабилизировать ситуацию в Украине. Они выделили 5 главных способов, одним из которых стала рассылка SMS-сообщений о фейковом сбое в работе банкоматов государственных банков.

Вторым методом, заявляют в CERT-UA, хакеры избрали рассылку сообщений о минировании зданий на адреса электронной почты нескольких банков. Эксперты установили, что такие письма мог отправлять житель Донецкой области, личность которого не раскрывают.

Хакеры провели серию распределенных атак на отказ в обслуживании (DDoS) на сайты украинских правительственных структур и банков. CERT-UA вместе с партнерами в ходе исследования выяснили, что в атаках были задействована бот-сети Mirai и Meris, в последнем случае вредоносный информационный поток направляется через тысячи взломанных маршрутизаторов Mikrotik и других устройств с фильтрацией ACL, которая позволяет скрывать их от поисковых систем.

В команде предполагают, что злоумышленники предоставили заказчику DDoS-услугу (DDoS as a Service).

«В связи с тем, что количество подобных устройств насчитывает более 30 000, список IP-адресов распространен среди субъектов координации с помощью платформы MISP», — говорится в сообщении.

Кроме того, злоумышленники помешали работе веб-ресурсов с доменом gov.ua, проведя DDoS-атаку на обслуживающие DNS-серверы. Несколько серверов доменных имен вывели из строя и пресекли возможность определения IP-адреса, в результате временно пропал доступ ко многим сайтам государственных органов.

Специалисты также заметили подозрительные действия с настройками автономных систем на уровне протокола граничного шлюза (BGP), отвечающего за динамическую маршрутизацию. По данным сервиса Cisco Crosswork, 15 февраля более двух часов префикс 217.117.7.0/24, фактически принадлежащий Inq-Digital-Nigeria-AS, был анонсирован от имени автономной системы «ПриватБанка» через систему нигерийского оператора телекоммуникаций AS37148.

CERT-UA порекомендовала правительственным органам и объектам критической инфраструктуры наладить с ними связь для оперативного обмена информацией в случае будущих инцидентов. Они объяснили, что при реагировании на киберугрозы очень много времени уходит на то, чтобы связаться с жертвой, а также на передачу цифровых доказательств.