Кибератака на Украину: кто виноват?

Кибератака на Украину

Десятки государственных учреждений в Украине стали мишенью хакеров на прошлой неделе. В ходе кибератаки преступники заменили главные страницы сайтов (или просто дефейснули) политическим сообщением. В сообщении утверждалось, что хакеры также украли данные украинских граждан, но правительство говорит, что информация осталась не тронутой. У некоторых экспертов другое мнение на сохранность данных.

Кибератака на украинские правительственные сайты: что случилось?

В прошлый четверг хакеры атаковали около 70 украинских веб-сайтов, многие из которых являются правительственными. В ходе кибератаки преступники заменили главную страницу около десятка ресурсов на угрожающее сообщение.

В число пострадавших входят министерства иностранных дел, обороны, энергетики, образования и науки. Министерство цифровой трансформации тоже пострадал, хоть и сохранил работоспособность.

Сообщение-дефейс было написано на украинском, русском и польском языках:

Украинец! Все ваши личные данные загружены в общую сеть. Все данные на компьютере уничтожаются, восстановить их невозможно. Вся информация о вас стала публичной, бойтесь и ждите худшего. Это Вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галицию, за Полесье и за исторические земли.

Администраторы сайтов отреагировали быстро и начали исправлять страницы. Начался этап расследования инцидента. К концу выходных почти все сайты были восстановлены.

Дефейс: что с данными?

Хотя в сообщениях о кибератаке говорилось, что данные похитили, этому нет никаких доказательств. В любом случае, если кража ограничивалась сайтами, которые пострадали в этот четверг, веб-серверы для них обычно не хранят важных данных для кражи. Это официальная позиция госструктур.

Не зависимо от этого, на Даркнет-форумах регулярно появляются так называемые склейки данных из ранее сломанных источников, которые выдаются продавцами за результаты свежих операций. Свидетельствовать о таком обмане, по словам специалиста с кибербезопасности Влада Стырана, могут разногласия в форматах данных, низкая репутация продавцов на форумах, несоответствующая цена дампов и т.д.

Пользователи DOU на форуме платформы говорят, что часть данных свежая. Может быть, что они были слиты не во время атаки 13-14 января, но информация из дампов актуальная и ID оттуда совпадает с таковыми в “Дія”.

Предупреждение, что “все данные на компьютере уничтожаются”, также неправдиво. Виктор Жора, заместитель директора Государственной службы специальной связи и защиты информации Украины, сообщил об одном случае удаления. В портале МТСБУ, которое регистрирует застрахованные транспортные средства, пропала часть данных, но бэкапы БД остались нетронутыми. Сейчас база восстанавливается.

Дефейс выполнялся вручную, а не с помощью скрипта, настроенного на автоматическую замену в назначенное время. Это значит, что атаку координировали несколько участников, говорит Виктор Жора. Удаление данных с портала автострахования также производилось вручную.

В понедельник произошёл ещё один дефейс, на этот раз на сайте для тендеров ProZorro.

Что говорит Microsoft?

Немного позже Microsoft обнаружила вредоносное ПО Wiper в системах нескольких государственных учреждений Украины, в том числе тех, чьи веб-сайты были повреждены. Обычно очистители удаляют или перезаписывают важные системные файлы, из-за чего системы не могут загружаться или работать иным образом. Но не ясно, действительно ли Wiper запускался на каких-то системах или просто устанавливался на них в рамках подготовки к будущему вайпу.

Как хакерам удалось осуществить массовую атаку?

Большинство затронутых веб-сайтов использовали одну и ту же систему управления контентом — российскую OctoberCMS. Это навело на мысль, что хакеры взломали веб-сайты через известную уязвимость в этой системе. 

Около 50 из 70 пострадавших сайтов были разработаны и управлялись украинской компанией Kitsoft. В конце концов следователи установили, что Kitsoft был скомпрометирован, что позволило хакерам получить доступ к панели администратора Kitsoft и использовать учётные данные компании для искажения веб-сайтов клиентов.

Не все затронутые сайты управляются Kitsoft, поэтому следователи по-прежнему считают, что некоторые из них могли быть скомпрометированы либо через уязвимость в системе OctoberCMS, либо через какое-то другое совместно используемое ПО. Они также рассматривают вопрос о том, использовалась ли в атаках уязвимость Log4j, недавно обнаруженная в библиотеке с открытым исходным кодом, которая используется многочисленными программами.

Kitsoft позже представила дополнительные разъяснения, после своего первоначального ответа на Zero Day. Пресс-секретарь компании теперь говорит, что вирусы, о которых она косвенно упоминала, были компонентами вайпера WhisperGate и что он перезаписал основные загрузочные записи. А именно, часть жесткого диска, которая отвечает за запуск операционной системы на машине, когда он загружен.

Вредоносная программа, которую Microsoft называет WhisperGate, на своей поверхности имитирует программу-вымогатель. Но это прикрытие его скрытой, более разрушительной способности. WhisperGate предназначен для стирания или перезаписи важных файлов в заражённых системах, чтобы сделать их неработоспособными.

Кто виноват в кибератаке на Украину?

Россия является очевидным подозреваемым, учитывая текущую политическую напряженность и угрозу вторжения. В 2016 году пострадала украинская энергосистема, её данные были стёрты с помощью вайпера, приписываемого российской военной разведке — ГРУ. А в 2017 году Россия стояла за червём NotPetya, который, как и WhisperGate, был нацелен на Украину и маскировался под программу-вымогатель, чтобы перезаписывать файлы и наносить вред системам.

Microsoft написала в своем блоге, что пока не нашла ничего, что связывало бы вайпер WhisperGate с какой-либо хакерской группой, которую она отслеживала.

Можно ли было избежать атаки? 

По словам администратор украинской Википедии Назара Токаря, если бы те, кто занимался поддержкой сайтов, вовремя их обновили, кибератаку на Украину не получилось бы осуществить. “Обновить сайт можно через несколько минут, — уточняет он. — Более того, при правильной настройке сервера даже необновленную версию сайта взломать таким образом почти невозможно”.

По словам Токаря, после создания госсайстов министерства не заказывали их поддержку, поэтому они просто не обновлялись. С апреля 2021 года пользование October станет платным: лицензия на один сайт стоит 9$ в год (20 грн/месяц). Сайты без лицензий будут работать, но обновлений ждать не стоит. Зато с лицензией сайт может обновляться автоматически. Цена вопроса 150$, такая стоимость лицензии на неограниченное количество сайтов. Таким образом +- 3 000 грн могли спасти госсайты.

Есть ли альтернативы систем управления сайтами, не связанные с Россией? Да, и их достаточно. В частности, простой, бесплатный и популярный WordPress, на котором работает большинство сайтов всей планеты. 

Кибератака на Украину: итог

Не стоит характеризовать кампании по вайперам и дефейсам как массовую кибератаку, потому что им не хватает масштаба и изощрённости. Об этом заявил Джон Халтквист, директор по анализу разведывательных данных в Mandiant. Но предложения о продаже данных на Даркнет-форумах продолжают появляться. Бытует мнение, что это была репутационная кибератака. Но, настоящий вопрос в том, что дальше? 

“Меня беспокоят масштабные атаки, которые поражают критически важную инфраструктуру. Или распространяются на несколько секторов и имеют масштабные последствия, такие как NotPetya, — говорит Халтквист. — Именно тогда они действительно могут нанести серьёзный ущерб”.

Что думаете по поводу этой атаки? Ждём ваших комментариев. 

Добавить комментарий

Спасибо, что поделились