Кібератаки 15 лютого були частиною інформаційно-психологічних операцій – фахівці
Як передає Укрінформ, про це повідомляє Урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA).
CERT-UA у тісній взаємодії з фахівцями Національного банку України (CSIRT-NBU) та Департаменту кіберполіції Національної поліції України вжила окремих заходів з дослідження інцидентів інформаційної безпеки.
"Зауважимо, що згадані кібератаки, на відміну від типової точкової діяльності окремих груп зловмисників, пов’язаної із розповсюдженням шкідливих програм, спір-фішингу, викраденням даних тощо, в більшості своїй були спрямовані на інфраструктурні елементи кіберпростору та окремі галузі, в тому числі, маючи підтекст інформаційно-психологічних операцій, спрямованих на дестабілізацію ситуації в країні", - ідеться у повідомленні.
Серед основних способів реалізації зловмисного задуму у CERT-UA виділили: розсилання фейкових SMS-повідомлень громадянам про начебто порушення роботи банкоматів та електронних поштових повідомлень серед низки фінансових установ про їх мінування. Було встановлено, що зазначена діяльність могла здійснюватися жителем Донецької області.
Також у CERT-UA відмітили проведення розподілених атак на відмову в обслуговуванні (DDoS) у відношенні веб-ресурсів українських банків та державних установ. В рамках дослідження, в тому числі, з урахуванням інформації від партнерів, визначено, що до здійснення атак, серед іншого, залучені бот-мережі Mirai та Meris. На думку кіберфахівців, зазначене, з "високим рівнем впевненості, дозволяє припустити, що для проведення атак використано наявні потужності зловмисників, що надаються як послуга (DDoS as a Service)".
У CERT-UA відзначили також унеможливлення доступу до веб-ресурів в зоні gov.ua шляхом здійснення DDoS-атаки на обслуговуючі DNS-сервери.
"Виведення з ладу декількох серверів доменних імен призвело до тимчасового порушення доступу до значної кількості веб-ресурсів державних органів у зв’язку з неможливістю визначення A-запису (IP-адреси) для відповідних доменних імен", - прокоментували в CERT-UA.
Ще одним видом атак була підозріла маніпуляція з налаштуваннями автономних систем на рівні протоколу BGP. "Так, за даними Cisco Crosswork протягом більш ніж двох годин, починаючи з 15:30 15.02.2022, префікс 217.117.7.0/24, який фактично належить Inq-Digital-Nigeria-AS (AS16284), було анонсовано від імені автономної системи Приватбанку (AS15742) через автономну систему нігерійського оператора телекомунікацій AS37148", - підкреслили в CERT-UA.
"Зважаючи на значний зріст кількості кіберінцидентів, а також ураховуючи той факт, що під час реагування на події інформаційної безпеки значну частину часу займає процес налагодження комунікації з суб’єктом координації та збір і передавання цифрових доказів, наполегливо рекомендуємо державним органам, об’єктам критичної інфраструктури налагодити оперативний зв’язок та процес інформаційного обміну з CERT-UA", - наголосили в команді реагування на комп'ютерні надзвичайні події.
Як повідомляв Укрінформ, 15 лютого DDoS-атак зазнали сайти ряду міністерств. Були також зафіксовані перебої в роботі вебсервісів державних Ощадбанку і ПриватБанку.
За цим фактом Нацполіція відкрила кримінальне провадження за статтями 361 (несанкціоноване втручання в роботу автоматизованих систем) та 363-1 (умисне масове розповсюдження повідомлень електрозв'язку, що призвело до порушення роботи автоматизованих систем) Кримінального кодексу.
В СБУ вважають, що за цими кібератаками стоять іноземні спецслужби.
