Що відомо про кібератаку на сайти українських держорганів. Факти та версії експертів
У ніч з 13 на 14 січня хакери атакували сайти українських держорганів. Вони здійснили дефейс вебсторінок «Дії», ресурсів Кабміну, Міноборони, МЗС та декількох інших держустанов, а також провели DDOS-атаку на домен gov.ua.
SPEKA зібрала, що відомо про кібератаку на цей момент і що про неї думають експерти з кібербезпеки.
Що таке дефейс
Дефейс — тип хакерської атаки, за якої головна сторінка вебсайту замінюється на іншу. Доступ до інших сторінок ресурсу зазвичай блокується або видаляється повністю.
Саме це трапилося із сайтами українських держорганів. На деяких із них з'явилися повідомлення українською, російською та польською мовами. У них ішлося про те, що всі персональні дані українських громадян вкрадено і буде завантажено у загальну мережу.
Повідомлення містить натяк на «польський слід»: нібито це помста за «Волинь, за ОУН УПА, за Галичину, за Полісся і за історичні землі».
Як зловмисники змогли зламати сайти держогранів
Підписуйтеся на наші соцмережі
Опитані SPEKA експерти з кібербезпеки наразі вважають найбільш правдоподібною версію, яку оприлюднила у Twitter американська журналістка Кім Зеттер із посиланням на власні джерела. Вона пише, що 15 атакованих сайтів працюють на движку October CMS. Зловмисники нібито використали публічну вразливість у цій CMS, про яку стало відомо ще навесні 2021 року.
«Вірогідно, для злому та дефейсу сайтів МЗС і МОНу використали відому вже кілька місяців вразливість системи управління контентом, а сама атака була дуже примітивною», — погоджується заступник директора SK Security Віктор Дроботенко.
СyberAccelerator Lead у SocialBoost Галина Василевська говорить, що вебсайтам як таким, нам відміну від реєстрів та вебзастосунків, зазвичай приділяють значно менше уваги: рідко оновлюють, погано підтримують і не шукають вразливості. Тому саме сайти — доволі легка мішень, де без надзусиль та складних атак можна отримати великий публічний резонанс. «Хороші новини в тому, що дані користувачів у більшості випадків не страждають, бо зберігаються у реєстрах, — говорить Василевська. — Погані у тому, що вразливості таких сайтів доволі примітивні і ставлять під питання загальний рівень технічної компетенції органів влади».
Співзасновник ГО «Український Кіберальянс» Андрій Баранович (Sean Townsend) розповідає, що движок October CMS для всіх атакованих сайтів переробляла українська компанія Kitsoft. Вразливість у движку знайшли ще навесні, але за сім місяців ніхто так і не оновив CMS на сайтах держорганів. «Це не суператака і не складна вразливість, це звичайне нехлюйство, яке засвідчує, що кібербезпеки в Україні фактично немає», — говорить Баранович.
SPEKA попросила Kitsoft прокоментувати версію про атаку через вразливість у CMS. У відповідь компанія розповсюдила заяву про те, що відновлення роботи ресурсів здійснюється за участі Мінцифри, а над розслідуванням ситуації працює Держспецзв'язку спільно зі СБУ та Кіберполіцією. «Компанія Kitsoft, як розробник, також залучена до відновлення роботи державних сайтів», – йдеться у заяві. Компанія повідомляє, що наразі частина ресурсів вже відновлена, проте вони тимчасово відключені для запобігання поширенню атак.
«Витоку інформації з сайтів не було. Дія не зберігає персональні дані, а лише відображає ті, що є в державних реєстрах», – повідомляє Kitsoft.
Хто стоїть за кібератакою і яка її мета
В SK Security не сумніваються, що атака є черговим прикладом бойового застосування кіберзброї у межах так званої гібридної війни з боку Росії. «Імовірно, влада північного сусіда вирішила, що концентрації військ на наших кордонах може бути недостатньою для продавлювання своїх інтересів у переговорах із НАТО, і підтвердила свою рішучість масованою кібератакою», — говорить Віктор Дроботенко. — На відміну від атаки NotPetya у червні 2017-го, основна мета — не матеріальні збитки або людські жертви, а саме завдання шкоди репутації країни«. В SK Security вважають, що цієї мети зловмисники досягли. »Якщо наші західні партнери не зреагують на шантаж, то наступна атака може бути — і, ймовірно, буде — куди більш шкідливою«, — вважає Дроботенко.
Андрій Баранович також переконаний, що за кібератаками стоять північні сусіди України. «Повідомлення написані нібито від поляків. Очевидно, що це спроба посварити Україну та Польщу, а це вигідно РФ та Білорусі», — говорить він.
На думку Барановича, проблем із відновленням доступу до сайтів та контенту не буде. Він вважає, що затримка із запуском сайтів пов'язана з тим, що спецслужби шукають, звідки саме відбулася атака.
Що робити
Атака продемонструвала масштаб уразливості державних інформаційних ресурсів України і слабкість або навіть повну відсутність ефективних механізмів відновлення після атаки, говорить Віктор Дроботенко. «Вітчизняному бізнесу варто розуміти, що розраховувати на ефективну роботу держави у сфері кібербезпеки поки що не доводиться. Тож порятунок потопаючих має стати справою їхніх власних рук», — говорять у компанії.
Андрій Баранович вважає, що країні потрібно кардинально переглянути підхід до кібербезпеки. «Цим могли би займатися приватні компанії, тоді би софт оновлювався вчасно, всюди стояли надійні паролі тощо», — переконаний експерт.
«Потрібно підтримувати загальний рівень безпекових компетенцій, перевіряти вразливості не лише реєстрів, а й інших цифрових ресурсів та інвестувати у кібербезпеку загалом», – ділиться власним рецептом Галина Василевська.