Dzięki szybkim działaniom Rządowego Zespołu Reagowania na Incydenty Komputerowe (CERT-UA), atak rosyjskich hakerów na ukraińską Narodową Agencję Informacyjną Ukrinform nie przerwał jej pracy, a Ukraińcy i świat mogą nadal otrzymywać aktualne i obiektywne informacje o sytuacji w kraju.
„Od pierwszych dni inwazji na pełną skalę Rosjanie starają się pozbawić Ukraińców informacji o stanie rzeczy w kraju i przebiegu wojny. Odcięli ukraińską telewizję, Internet i łączność komórkową na tymczasowo okupowanych terytoriach, przeprowadzili ataki rakietowe na wieże telewizyjne i radiowe w wielu miastach Ukrainy. Przeprowadzili oni cyberataki na ukraińskie media. Atak na Ukrinform to kolejna próba zniszczenia prawdy – powiedział Jurij Szczygieł, szef państwowej służby ds. komunikacji specjalnej.
Według wstępnych danych przekazanych przez ekspertów CERT-UA, choć w wyniku ataku uszkodzona została część infrastruktury informatycznej agencji, zagrożenie zostało szybko zlokalizowane. Dzięki temu możliwe było zapewnienie pracy Ukrinformu. Eksperci CERT-UA pomagają obecnie w przywróceniu infrastruktury i kontynuują badanie incydentu.
„Ukrinform” mógł zostać zaatakowany przez hakerów z grupy Sandworm powiązanej z rosyjskim GRU: wstępne wyniki badań CERT-UA
Ukraiński rządowy Zespół Reagowania na Incydenty Komputerowe (CERT-UA), który działa w ramach Państwowej Służby Łączności Specjalnej, prowadzi dochodzenie w sprawie cyberataku na agencję informacyjną Ukrinform z 17 stycznia.
Rosyjski kanał telegramu „CyberArmyofRussia_Reborn” zdążył pochwalić się „osiągnięciem” hakerów, ale napastnikom faktycznie nie udało się zatrzymać pracy agencji. Przedstawiciele CERT-UA szybko zlokalizowali zagrożenie.
Według wstępnych danych, złośliwe oprogramowanie CaddyWiper zostało uruchomione centralnie poprzez Group Policy (GPO) w celu naruszenia integralności i dostępności informacji.
CERT-UA na podstawie charakterystycznych cech przypuszcza, że cyberatak został przeprowadzony przez grupę UAC-0082 (Sandworm). Związany jest z Głównym Zarządem Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU). Co więcej, ta grupa należy do tych, które w 2022 roku najczęściej atakowały Ukrainę.
Rządowy Zespół Reagowania na Incydenty Komputerowe zauważa również, że wspomniany kanał telegramu – wraz z typowymi wiadomościami o atakach DDoS i usterkach – był wielokrotnie wykorzystywany do podkreślania destrukcyjnej działalności grupy Sandworm.
Niszczące dane ransomware CaddyWiper zostało po raz pierwszy wykryte na Ukrainie w połowie marca 2022 r. Hakerzy Sandworm wykorzystali go również podczas zakrojonego na szeroką skalę cyberataku na ukraiński sektor energetyczny w kwietniu ubiegłego roku.
