Кібератака на Україну: хто винен?
Минулого тижня десятки державних установ в Україні стали мішенню хакерів. У ході кібератаки злочинці замінили головні сторінки сайтів (або просто дефейснули) політичним повідомленням. У повідомленні йшлося про те, що хакери також вкрали дані українських громадян, але уряд каже, що інформація не постраждала. У деяких експертів інша думка щодо збереження даних.
Кібератака на українські урядові сайти: що сталося?
Минулого четверга хакери атакували близько 70 українських вебсайтів, багато з яких є урядовими. У ході кібератаки злочинці замінили головну сторінку близько десятка ресурсів на загрозливе повідомлення.
До постраждалих входять міністерства закордонних справ, оборони, енергетики, освіти та науки. Міністерство цифрової трансформації теж постраждало, хоч і зберегло працездатність.
Повідомлення-дефейс написали українською, російською та польською мовами:
Українець! Всі ваші особисті дані були завантажені в загальну мережу. Всі дані на комп’ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся та чекайте гіршого. Це Вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся та за історичні землі.
Адміністратори сайтів відреагували швидко і почали виправляти сторінки. Почався етап розслідування інциденту. До кінця вихідних майже всі сайти відновили.
Дефейс: що з даними?
Хоча у повідомленнях про кібератаку говорилося, що дані викрали, цьому немає жодних доказів. У будь-якому випадку, якщо крадіжка обмежувалася сайтами, які постраждали цього четверга, вебсервери для них зазвичай не зберігають важливих даних для крадіжки. Це офіційна позиція держструктур.
Незалежно від цього, на Даркнет-форумах регулярно з’являються так звані склеювання даних із раніше зламаних джерел, які видаються продавцями за результати нових операцій. Свідчити про такий обман, за словами фахівця з кібербезпеки Влада Стирана, можуть розбіжності у форматах даних, низька репутація продавців на форумах, невідповідна ціна дампів тощо.
Користувачі DOU на форумі платформи кажуть, що частина даних свіжа. Можливо, що вони були злиті не під час атаки 13-14 січня, але інформація з дампів актуальна й ID звідти збігається з ними в “Дія”.
Попередження, що “всі дані на комп’ютері знищуються”, також неправдиве. Віктор Жора, заступник директора Державної служби спеціального зв’язку та захисту інформації України, повідомив про один випадок видалення. У порталі МТСБУ, яке реєструє застраховані транспортні засоби, зникла частина даних, але бекапи БД залишилися недоторканими. Наразі база відновлюється.
Дефейс виконувався вручну, а не за допомогою скрипта, налаштованого на автоматичну заміну у призначений час. Це означає, що атаку координували кілька учасників, каже Віктор Жора. Видалення даних із порталу автострахування також проводилося вручну.
У понеділок відбувся ще один дефейс, цього разу на вебсайті для тендерів ProZorro.
Що говорить Microsoft?
Трохи пізніше Microsoft виявила шкідливе програмне забезпечення Wiper в системах кількох державних установ України, у тому числі тих, чиї вебсайти були пошкоджені. Зазвичай очищувачі видаляють або перезаписують важливі системні файли, тому системи не можуть завантажуватися або працювати іншим чином. Але не ясно, чи дійсно Wiper запускався на якихось системах, чи просто встановлювався на них у рамках підготовки до майбутнього вайпу.
Як хакерам вдалося здійснити масову атаку?
Більшість зламаних вебсайтів використовували ту саму систему управління контентом — російську OctoberCMS. Це навело на думку, що хакери зламали вебсайти через відому вразливість у цій системі.
Близько 50 із 70 постраждалих сайтів були розроблені та управлялися українською компанією Kitsoft. Нарешті, слідчі встановили, що Kitsoft був скомпрометований, що дозволило хакерам отримати доступ до панелі адміністратора Kitsoft і використовувати облікові дані компанії для спотворення вебсайтів клієнтів.
Не всі постраждалі сайти управляються Kitsoft, тому слідчі, як і раніше, вважають, що деякі з них могли бути скомпрометовані або через вразливість в системі OctoberCMS, або через якесь інше ПЗ, що спільно використовується. Вони також розглядають питання, чи використовувалася в атаках вразливість Log4j, нещодавно виявлена в бібліотеці з відкритим вихідним кодом, яка використовується численними програмами.
Kitsoft пізніше подала додаткові роз’яснення, після своєї початкової відповіді на Zero Day. Прессекретар компанії тепер говорить, що віруси, про які вона побічно згадувала, були компонентами вайпера WhisperGate і що він перезаписав основні завантажувальні записи. А саме частину жорсткого диска, яка відповідає за запуск операційної системи на машині, коли він завантажений.
Шкідлива програма, яку Microsoft називає WhisperGate, на своїй поверхні імітує програму-вимагач. Але це прикриття для його прихованих руйнівних можливостей. WhisperGate призначений для стирання або перезапису важливих файлів у заражених системах, щоб зробити їх непрацездатними.
Хто винен у кібератаці на Україну?
Росія є очевидним підозрюваним з огляду на поточну політичну напруженість та загрозу вторгнення. У 2016 році постраждала українська енергосистема, її дані були стерті за допомогою вайпера, який приписують російській військовій розвідці — ГРУ. А у 2017 році Росія стояла за черв’яком NotPetya, який, як і WhisperGate, був націлений на Україну та маскувався під програму-вимагач, щоб перезаписувати файли та завдавати шкоди системам.
Microsoft написала у своєму блозі, що поки не знайшла нічого, що пов’язувало б вайпер WhisperGate з якоюсь хакерською групою, яку вона відстежувала.
Чи можна було уникнути атак?
За словами адміністратора української Вікіпедії Назара Токаря, якби ті, хто займався підтримкою сайтів, вчасно їх оновили, кібератаку на Україну не вдалося б здійснити. “Оновити сайт можна за кілька хвилин, — уточнює він. — Щобільше, за умови правильного настроювання сервера навіть неоновлену версію сайту зламати таким чином майже неможливо”.
За словами Токаря, після створення держсайстів міністерства не замовляли їхньої підтримки, тому вони просто не оновлювалися. З квітня 2021 року користування October стане платним: ліцензія на один сайт коштує $9 на рік (20 грн/місяць). Сайти без ліцензій працюватимуть, але оновлень чекати не варто. Натомість із ліцензією сайт може оновлюватися автоматично. Ціна питання 150 $, така вартість ліцензії на необмежену кількість сайтів. Таким чином, +- 3 000 грн могли врятувати держсайти.
Чи є альтернативи системам управління сайтами, не пов’язані з Росією? Так, і їх достатньо. Зокрема, простий, безплатний та популярний WordPress, на якому працює більшість сайтів усієї планети.
Кібератака на Україну: підсумок
Не варто характеризувати кампанії по вайперам і дефейсам як масову кібератаку, тому що їм не вистачає масштабу і витонченості. Про це заявив Джон Халтквіст, директор з аналізу розвідувальних даних у Mandiant. Але пропозиції продажу даних на Даркнет-форумах продовжують з’являтися. Існує думка, що це була репутаційна кібератака. Але справжнє питання в тому, що далі?
“Мене турбують масштабні атаки, що вражають критично важливу інфраструктуру. Або поширюються на кілька секторів і мають масштабні наслідки, такі як NotPetya, — каже Халтквіст. — Саме тоді вони справді можуть завдати серйозної шкоди”.
Що думаєте щодо цієї атаки? Чекаємо на ваші коментарі.