Кибератаки 15 февраля были частью информационно-психологических операций – специалисты

Масштабные кибератаки 15 февраля являлись частью информационно-психологических операций, направленных на дестабилизацию ситуации в Украине, об этом сообщает Правительственная команда реагирования на чрезвычайные события Украины (CERT-UA).

CERT-UA в тесном взаимодействии со специалистами Национального банка Украины (CSIRT-NBU) и Департамента киберполиции Национальной полиции Украины приняла отдельные меры по исследованию инцидентов информационной безопасности.

“Заметим, что упомянутые кибератаки, в отличие от типичной точечной деятельности отдельных групп злоумышленников, связанной с распространением вредоносных программ, спир-фишинга, похищением данных и т.п., в большинстве своем были направлены на инфраструктурные элементы киберпространства и отдельные отрасли, в том числе, имея подтекст информационно-психологических операций, направленных на дестабилизацию ситуации в стране”, – говорится в сообщении.

Среди основных способов реализации злонамеренного замысла в CERT-UA выделили: рассылку фейковых SMS-сообщений гражданам о якобы нарушении работы банкоматов и электронных почтовых сообщений среди ряда финансовых учреждений об их минировании. Установлено, что указанная деятельность могла осуществляться жителем Донецкой области.

Также в CERT-UA отметили проведение распределенных атак на отказ в обслуживании (DDoS) в отношении веб-ресурсов украинских банков и государственных учреждений. В рамках исследования, в том числе с учетом информации от партнеров, определено, что к осуществлению атак, среди прочего, вовлечены бот-сети Mirai и Meris. По мнению киберспециалистов, указанное, с “высоким уровнем уверенности, позволяет предположить, что для проведения атак использованы мощности злоумышленников, предоставляемых как услуга (DDoS as a Service)”.

В CERT-UA акцентировали внимание также на исключении доступа к веб-ресурсам в зоне gov.ua путем осуществления DDoS-атаки на обслуживающие DNS-серверы.

“Вывод из строя нескольких серверов доменных имен привел к временному нарушению доступа к значительному количеству веб-ресурсов государственных органов в связи с невозможностью определения A-записи (IP-адреса) для соответствующих доменных имен”, – прокомментировали в CERT-UA.

Еще одним видом атак была подозрительная манипуляция с настройками автономных систем на уровне протокола BGP. “Так, по данным Cisco Crosswork в течение более двух часов, начиная с 15:30 15.02.2022, префикс 217.117.7.0/24, фактически принадлежащий Inq-Digital-Nigeria-AS (AS16284), был анонсирован от имени автономной системы Приватбанка (AS15742) через автономную систему нигерийского оператора телекоммуникаций AS37148”, – подчеркнули в CERT-UA.

“Учитывая значительный рост количества киберинцидентов, а также учитывая тот факт, что при реагировании на события информационной безопасности значительную часть времени занимает процесс налаживания коммуникации с субъектом координации и сбора и передачи цифровых доказательств, настоятельно рекомендуем государственным органам, объектам критической инфраструктуры наладить оперативную связь и процесс информационного обмена с CERT-UA”, – отметили в команде реагирования на чрезвычайные события.

Как сообщал Укринформ, 15 февраля DDoS-атак получили сайты ряда министерств. Были также зафиксированы перебои в работе веб-сервисов государственных “Ощадбанка” и “ПриватБанка”.

По этому факту Нацполиция открыла уголовное производство по статьям 361 (несанкционированное вмешательство в работу автоматизированных систем) и 363-1 (умышленное массовое распространение сообщений электросвязи, повлекшее к нарушению работы автоматизированных систем) Уголовного кодекса.

В СБУ считают, что за этими кибератаками стоят иностранные спецслужбы.