На сайті Урядової команди реагування на надзвичайні комп’ютерні події CERT-UA опубліковано фрагмент дослідження кібератак 14 січня з технічною інформацією про подію.
У ніч з 13 на 14 січня 2022 року здійснено втручання в роботу вебсайтів низки державних організацій, в результаті чого при відвідуванні інформаційних ресурсів користувачеві відображалось зображення провокативного змісту.
У деяких випадках з метою порушення штатного режиму функціонування інформаційно-телекомунікаційних (автоматизованих) систем на завершальному етапі кібератаки зловмисниками було здійснено шифрування або видалення даних. Для цього застосовано щонайменше два різновиди шкідливих програм деструктивного характеру, а саме: BootPatch (запис шкідливого коду в MBR жорсткого диску з метою його незворотної модифікації) і WhisperKill (перезапис файлів за визначеним переліком розширень послідовністю байт 0xCC довжиною 1МБ), або видалення даних здійснювалося шляхом ручного видалення віртуальних машин.
Найбільш вірогідним вектором реалізації кібератаки є компрометація ланцюга постачальників (supply chain), що дозволило використати наявні довірчі зв’язки для виведення з ладу пов’язаних інформаційно-телекомунікаційних та автоматизованих систем. Водночас не відкидаються ще два можливих вектори атаки, а саме – експлуатація вразливостей OctoberCMS та Log4j.
Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA вжила заходів зі збору цифрових доказів, вивчення зразків шкідливих програм і проведення комп’ютерно-технічних досліджень, в тому числі – відновлення інформації після її навмисного знищення. Наразі триває аналіз даних та дослідження обставин кіберінцидентів.
За наявними даними, згадана кібератака планувалася заздалегідь і проводилася у кілька етапів, в т. ч. із застосуванням елементів провокації.