Разбор | Хакеры смогли взломать 70 правительственных сайтов, в том числе "Дии". Как это получилось?
В ночь с 13 на 14 января неизвестные хакеры атаковали сайты украинских министерств, правительственный портал, портал судебной власти, судебные реестры и сайт "Дия". Часть сайтов отключили для "недопущения расширения атаки", после полудня 14 января они все еще не работали. Кибератака охватила около 70 сайтов центральных и региональных органов власти и стала мощнейшей за последние четыре года.
В Госспецсвязи утверждают, что контент сайтов не тронут, и хакеры не получили доступ к реестрам, где хранятся данные украинцев. Единственное заметное действие хакеров – картинка с текстом на украинском, русском и польском языках о мести украинцам "за прошлое, настоящее и будущее".
Liga.Tech поговорила с экспертами о причинах кибератаки, возможности утечки данных и примерах за границей.
Через какую лазейку взломали сайты?
Редакция опросила Андрея Барановича из ОО "Украинский киберальянс", главу ОО "Электронная республика" Евгения Поремчука и главу ОО "Электронная демократия" Владимира Фльонца. Эксперты отмечают такие причины:
- брешь в системе October CMS, на которой работают сайты украинских министерств и ведомств. Она не обновлялась с мая 2021 года. Часть сайтов ведомств работает на старой версии другой системы – Wordpress. Из-за устаревших версий, не учитывающих все угрозы кибербезопасности, и происходят такие взломы;
- отсутствие работников, ответственных за поддержку и обновление системы сайтов;
- отсутствие общей государственной политики кибербезопасности, призванной защитить в первую очередь от концентрации рисков и их следствия – массированных атак;
- одинаковые монопольные IT-решения для всех ведомств, упрощающие взлом сайтов. Большую часть государственных порталов делает одна компания. Как пишет epravda, это киевская компания Kitsoft (ООО "Комп'ютерні інформаційні технології"), специализирующаяся на создании IT-продуктов для госорганов и бизнеса. Ее сайт также не работает;
- государство не выделяет деньги на поддержку сайтов министерств и ведомств.
Госспецсвязь вместе с СБУ и киберполицией выяснили, что "с большой вероятностью произошла так называемая supply chain attack, то есть атака через цепочку поставок". Сообщается, что злоумышленники сломали инфраструктуру коммерческой компании, которая имела доступ с правами администрирования к пострадавшим в результате атаки вебресурсам.
По всей видимости, речь идет о компании Kitsoft. В свою очередь в Kitsoft утверждают, что пострадали не только сайты, которые они обслуживали.
Была ли утечка информации?
Киберполиция утверждает, что утечки данных не было, Минцифра говорит, что реестры не были взломаны. Баранович из "Украинского киберальянса" согласен с ними – по его мнению, хакеры просто получили доступ к сайтам и вывесили на них картинку.
Поремчук считает иначе – наличие утечки оценить невозможно. Эксперт думает, что коммуникационщики госструктур просто озвучили успокаивающую версию событий об отсутствии хищения личных данных. Получив доступ к сайту, хакеры, как минимум, заполучили базу сотрудников ведомств. По словам Поремчука, для кражи данных не нужно совершать громкую кибератаку, их можно выкачивать втихую, в течение многих лет.
Артем Старосек, CEO компании Molfar, занимающейся аналитикой в сфере IT, отмечает, что уязвимость, через которую взломали сайты украинских ведомств, дает частичный, не самый критичный доступ к сайтам. Вопрос в том, хранились ли данные на том же сервере, к которому хакеры получили доступ.
Кто стоит за кибератакой?
Госспецсвязь пока не называет того, кто стоит за кибератакой. В ведомстве только отметили, что "первые информационные сообщения об атаке на государственные украинские сайты появились на информационных ресурсах соседней страны".
Текст в картинке, размещенной на взломанных сайтах министерств, был написан на русском, украинском и польском языках. В нем были строки: "Это вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галицию, за Полесье и за исторические земли". Эксперты отмечают наличие в картинке данных о локации, где она была сделана – это Варшава.
Польша уже указала на Россию как на источник этой кибератаки. "Кибератака, о которой сообщила украинская сторона, является частью типичной деятельности спецслужб Российской Федерации", – заявил пресс-секретарь министра, координирующего работу польских спецслужб, Станислав Жарын.
Возможными заказчиками эксперт ГО "Украинский киберальянс" Андрей Баранович называет Россию или Беларусь, так как цель сообщения, опубликованного на госсайтах – "поссорить Украину и Польшу". Поремчук из "Электронной республики" же считает произошедшее скорее актом запугивания, чем взломом.
"Для взлома правительственных сайтов это не может быть неосторожной ошибкой, они могли специально их указать для направления по ненужному следу", – говорит Старосек про варшавскую локацию изображения.
Происходит ли такое в других странах?
Кибератаки происходят по всему миру, как отдельные, так и массированые, говорит Владимир Фльонц. Массированные атаки основываются на определенном слабом звене. Если брать украинский пример – это история с M.E.Doc и вирусом NotPetya (2016-2017 годы), за рубежом это массированный взлом через SolarWinds (2020 год), случаи с Microsoft Exchange Server или Java Log4Shell (2021 год).
Евгений Поремчук подчеркивает, что столь примитивные кибератаки – это редкость. Из более сложных атак он приводит в пример кибератаку на Colonial Pipeline. В 2021 году произошла кибератака на оператора крупнейшего трубопровода. Причиной стала утечка пароля одного из сотрудников. Компании пришлось остановить работу трубопровода, связывающего Мексиканский залив с югом и востоком США, из-за чего в 17 штатах и округе Колумбия ввели режим ЧС. Позже компания заплатила вымогателям выкуп в размере $5 млн.
В контексте кибератак на госорганы Артем Старосек из Molfar отмечает атаку Sunburst, затронувшую в 2020 году тысячи государственных и коммерческих организаций в США и за их пределами. Среди них – министерства торговли, финансов, национальной безопасности США, Национальный институт здравоохранения, компании Microsoft и Nvidia.
Британия и США связали Sunburst с Россией. Похожая на украинскую история произошла в Индии в 2013 году, когда пакистанские хакеры взломали сайты семи министерств и разместили там картинку с маской Гая Фокса.
Сделала ли Украина вывод после Petya (NotPetya)?
Артем Старосек отмечает, что в случае с вирусами Petya была другая ситуация – там вирус-шифровальщик пришел с автоматическим обновлением сервиса M.E.Doc. "Сугубо технически NotPetya – это другая история, другие технологии и другой путь заражения. Но организационно проблемы те же – концентрация рисков, появление слабого звена и как следствие – атака на него", – говорит Владимир Фльонц.
Важный момент – как будет освещена и расследована недавняя кибератака, какие будут сделаны выводы, подчеркивает Фльонц. Эксперт приводит в пример расследование "дорогостоящей направленной хакерской атаки с многомесячной подготовкой" на сайте президента Украины по поводу якобы подписи Джо Байдена.
"Де-факто оно похоронено уже 240 дней", говорит Фльонц о расследовании. "Пока не будет публично признана проблема – не будет последствий, не будет изменений и подобные ситуации будут повторяться", – подмечает эксперт.
В киберполиции не предоставили комментарии, сославшись на опубликованную на их сайте новость.
