Українська правда
Економічна правда
Публікації

Чергова масована кібератака на Україну: як це стало можливим та які наслідки
14.01.2022 14:45
У ніч з 13 на 14 січня десятки урядових сайтів стали жертвами хакерського удару, а на сторінках окремих поламаних ресурсів з’явились погрози на адресу українців. Як це сталося та що вдалося зробити кіберзлочинцям?

Хакерська атака у ніч з 13 на 14 січня на понад 15 державних веб-сайтів відбулась через вразливість системи керування вмістом сайту, про яку було відомо з травня 2021 року.

Вірогідно атака відбулась централізовано через одну приватну ІТ-компанію, яка створювала всі ці сайти. Сценарій нападу на державні інформаційні ресурси нагадує кібератаку 2017 року через ПО "M.E.Doc".

Кібератака

Сайти українських організацій вчергове стали жертвою хакерських атак. Цього разу зловмисники вдарили по урядовим установам.

В ніч з 13 на 14 січня, коли святкують так званий Старий Новий рік (за юліанським календарем), були зламані сайти "Дія", Державної служби надзвичайних ситуацій, Міністерства закордонних справ, Міністерства охорони здоров'я, Міносвіти, Міністерства молоді та спорту, Міненерго, Мінагрополітики, безпосередньо Кабінету міністрів, Державної казначейської служби та інших органів. Атакували і сайт Національного банку, однак як переконують в регуляторі всі спроби вдалося "нейтралізувати".

Перелік веб-адрес державних інформаційних ресурсів, які постраждали внаслідок кібератаки
facebook Гільдія IT Фахівців

Хакерська атака не позначилась на роботі державних органів. Принаймні офіційно. Деякі установи розмістили на свої сторінках в соціальних мережах повідомлення про те, що актуальну інформацію, до моменту відновлення IT-систем можна отримати на їх сторінках в соцмережах.

"Актульна інформація про роботу Казначейства та відновлення сайту буде оприлюднена на офіційній Facebook cторінці Казначейства. Рахунки для сплати платежів доступні на офіційному сайті Державної податкової служби України", – говориться в повідомленні Держказначейства.

Примітно, що на сторінці Міністерства закордонних справ зловмисники розмістили повідомлення українською, російською та польською мовами, в якому хакери залякують користувачів: "Всі дані на комп'ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся і чекайте гіршого".

Послання було зроблене трьома мовами: українською, російською та польською 

У "посланні" українцям, яке хакери залишили на сайті Міністерства закордонних справ, версія польською мовою видає, що ті, хто його писав, не є носіями мови попри те, що зміст повідомлення натякає на "польський слід". 

Як пише "Європейська правда", на це звернули увагу журналісти польського видання Wprost, а конкретні приклади у коментарі ЄвроПравді навели носії польської мови. 

Натомість, в Міністерстві цифрової трансформації заспокоюють громадян: "Роботу більшої частини атакованих державних ресурсів вже відновлено. Контент сайтів при цьому залишився без змін, і витоку персональних даних не відбулося. Інші сайти відновлять роботу найближчим часом. "

Розслідуванням інциденту вже зайнялись Служба безпеки України, Держспецзв'язку та департамент кіберполіції Нацполіції. Зараз вони збирають цифрові докази.

"Роботу більшої частини атакованих державних ресурсів уже відновлено, інші будуть доступні найближчим часом. Вирішується питання щодо відкриття кримінального провадження за статею 361 (Несанкціоноване втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку) Кримінального кодексу", – повідомили в департаменті кіберполіції.

Як хакери атакували Україну раніше

Грудень 2015

За допомогою троянського програмного забезпечення BlackEnergy 3 невстановлені хакери 23 грудня 2015 року вивели з ладу частину енергосистеми України.

Вони успішно атакували комп'ютерні системи управління в диспетчерській "Прикарпаттяобленерго". В результаті цього було вимкнено майже 30 підстанцій, а близько 230 тисяч громадян протягом однієї-шести годин залишилися без електроенергії.

Грудень 2016

Організована група хакерів проникла у внутрішні телекомунікаційні мережі Міністерства фінансів, Державної казначейської служби, Пенсійного фонду та вивела з ладу низку комп'ютерів, а також знищила критично важливі бази даних, що стосуються роботи Держказначейства та Пенсійного фонду.

Україна програє кібервійну. Хакери атакують державні фінанси

В результаті 7 грудня 2016 року було заблоковано проведення обов'язкових платежів на сотні мільйонів гривень Держказначейством та Пенсійним фондом. Платежі проходили із затримками або не проходили взагалі, не працювали сайти Міністерства фінансів та Держказначейства.

Грудень 2016

17 грудня 2016 року в результаті атаки на частину електромережі України п'ята частина київської агломерації разом із Київською ГАЕС була знеструмлена. Відключення частини київської енергомережі тривало одну годину.

Блекаут по-київськи: чим загрожує кібератака на енергомережу Києва і хто за нею стоїть

Червень 2017

Напередодні Дня Конституції сталася найбільша за всю історію України кібератака на комп'ютерні системи фінансових установ, енергетичних підприємств, засобів масової інформації, об'єктів транспорту та інфраструктури, телекомунікаційних мереж та інших великих організацій.

Це війна: Україну потрясла найбільша в історії кібератака

Потрапляючи в комп'ютер, вірус-вимагач Petya.A зашифровував усі дані та вимагав заплатити 300 доларів в криптовалюті Bitcoin. Після перерахування коштів зловмисники обіцяли надіслати ключ для розшифровки.

Від тієї кібератаки постраждали понад 100 компаній по всій Україні. Серед них, "Ощадбанк", "Укрпошта", "Нова пошта", "Укренерго", "Укртелеком", Міністерство інфраструктури, Міненерговугілля, 24 канал, Інтер, Перший національний та багато інших.

Як атакували Україну атакували: старий новий хак

Перші здогадки про те, яким чином хакерам вдалось реалізувати кібератаку оприлюднила американська журналістка Кім Зеттер. У своєму твіттер-акаунті вона оприлюднила посилання на вразливість системи керування вмістом веб-сайтів October CMS, яку виявили ще в травні 2021 року.

Через кілька годин на офіційному сайті Служби безпеки України з’явилось повідомлення про кібератаку з рекомендаціями правоохоронців щодо шляхів усунення вразливості. Спеціалісти спецслужби пропонують "Оновити OctoberCMS до останньої версії (мінімум до 472)".

October – це система управління вмістом сайту (CMS) з відкритим вихідним кодом. Перший реліз системи відбувся 15 травня 2014 року. Цю систему використовують зокрема такі компанії як Toyota, KFC та Nestle. October особливо популярна серед користувачів у США та Росії, а також у Європі: Швейцарії, Польщі, Нідерландах, Великобританії та інших країнах.

Попередньо відомо, що атаковані державні вебсайти були побудовані на CMS October київською ІТ-компанією Kitsoft (ТОВ "Комп'ютерні інформаційні технології"), яка спеціалізується на створенні IT-продуктів для державних органів і бізнесу.

В листопаді 2021 року стало відомо, що компанія виграла тендер на розробку Єдиного державного вебпорталу електронних послуг на замовлення ДП "Дія" вартістю 38,4 млн грн. Предмет торгів – розробка нових та модернізація наявних компонентів "Дії" з розширенням програм-апаратних можливостей та уніфікацією комплексу у рамках забезпечення цифровізації paperless.

Частина коштів, а саме 12,7 млн грн, направлених на розробку порталу минулого року виділили з державного бюджету. Всі роботи по реалізації завдання Kitsoft повинна закінчити до кінця 2022 року.

Вебсайт Kitsoft, як і інших державних органів також не працює.

Втім, кешування сторінки компанії в Google показало, що ТОВ "Комп'ютерні інформаційні технології" створювало інтернет-ресурси для майже 40 державних органів, установ і організацій. Серед них, наприклад:

За даними з відкритих реєстрів в жовтні-листопаді 2021 року Kitsoft виграла три тендери державного КП "Головний інформаційно-обчислювальний центр" вартістю від 1,3 млн грн до 4,4 млн грн. Саме ця компанія розробляла і програмне забезпечення для "Київ Цифровий".

Kitsoft працює у сфері комп'ютерного програмування з 2007 року з керівником та основним з двох бенефіціарів Єфремовим Олександром.

Коментарі спеціалістів в сфері кібербезпеки

Андрій Баранович, Sean Brian Townsend

 За яким принципом було обрано сайти для атаки?

Принцип дуже простий: вони всі працювали на одній і тій самій не оновленій версії програмного забезпечення. В ньому була знайдена вразливість в травні минулого року і за сім місяців, що пройшли з травня ніхто в жодному з міністерств і відомств, які зазнали атаки, не спромігся оновити ПЗ.

Навіть більше, якщо б сам софт був налаштований правильно, тоді можна було навіть не оновлювати ПЗ, тому що вразливість не подіяла би. Але ПЗ було не налаштоване і не оновлене. 

Хто повинен був налаштовувати і оновлювати веб-сайти?

Все залежить від того, як у держорганів укладені договори. Я підозрюю, що міністерство замовляє собі сайт, фірма підрядник створює сайт, встановлює його, налаштовує і на цьому робота завершена, за підтримку веб-сайту просто не платять. 

Підозрюю, що все було саме так. Я не можу знайти іншу причину, чому в центральних органах влади сім місяців не оновлюється софт, коли відомо, що в ньому є діра. 

Чому атака мала успіх?

Тому що перелік вразливостей October CMS публічно доступний. Інформація про те, які вразливості існують в тій збірці (версії програмного забезпечення – ЕП) , і як ними можна користуватися – відкрита. 

 Як в майбутньому потрібно попереджувати такі атаки?

Такі атаки відбуваються через тотальну безвідповідальність. Досі наші законодавці і виконавча влада літають в хмарах, мріють про кібервійська, придумують якісь абсолютно нездійсненні кібер-стратегії. Натомість все, що потрібно робити – це виконувати елементарні обов'язки, тобто обслуговувати всі ці інформаційні системи. 

Якщо ці обов’язки виконувати нема кому, тоді ті ІТ-системи потрібно просто вимкнути і прийти на паперове діловодство. Тому що комп'ютерна система в некерованому вигляді існувати не може. Нехай наймають адміністраторів, нехай шукають підрядників, які ці системи будуть обслуговувати. 

А якщо просто один раз встановити, а далі буде як буде – все закінчиться катастрофою. 

Як ви оцінюєете інформаційний ефект від публікації провокаційної інформації на зламаних ресурсах?

Мотиви зломщиків зрозумілі. Вони прагнуть посварити Україну з Польщею, тому що текст перекладений на польську мову, написано про споконвічні галицькі землі. Але тут все залежить від реакції міністерств закордонних справ України і Польщі. Для всіх очевидно, що це навряд чи польські хакери. Це можуть бути хакери з Росії чи Білорусі. 

Особисто мені соромно за те, що половину уряду завалили публічною вразливістю піврічної давнини. Це означає що в кібербезпеці у нас кінь не валявся, не дивлячись на всі заяви влади.

Американська консультантка з кібербезпеки Лора Галанте: Росія готова атакувати

Микита Книш, Founder і СЕО HackControl

Злам веб-ресурів відбувся через вразливість в CMS, про яку було відомо ще з травня 2021 року. Але у нас в Міністерстві цифрової трансформації вважають, що питання кібербезпеки дещо переоцінене і результати ми тепер бачимо. 

З точки зору безпеки дефейс (зміна вмісту головної сторінки) сайту не передбачає якихось критичних проблем. Якщо хакер хотів би добитися іншого ефекту, він міг би змінити файли всередині системи. Але сайт виконує лише ознайомчу функцію. 

Ця кібератака лише в черговий раз повністю дискредитує систему кібербезпеки України. Хочу сказати людям, які це зробили, велике дякую, що в черговий раз показали, наскільки у нас все "діряве". 

Коли до нас приходила кіберполіція, ми казали, що є великі проблеми з кібербезпекою державних ресурсів, ми пропонували безкоштовно їх протестувати. Ми попереджали, що в разі початку війни таким же чином будуть йти повідомлення про мінування установ, організацій, об’єктів критичної інфраструктури.

Все відбувається чітко за сценарієм, про який адекватні люди попереджали всі міністерства заздалегідь. Спочатку йде атака, ціль якої – вичерпати всі ресурси силових відомств в Києві, тобто фейкові мінування. Наступним кроком є розповсюдження паніки, тобто проведення спеціальних інформаційних операцій. Все це – частина гібридної війни. 

Сьогодні мабуть відбулась друга частина спеціальної інформаційної операції. Її ціль – показати, що ваша кібербезпека на нулі. І третя частина – це зазвичай повномасштабне вторгнення. У всякому разі так було в 2014 році. Це стандартна методологія, за якою діють росіяни і білоруси. 

Я підкреслюю, що це просто публічне приниження. Чи зачіпає вона критичну інфраструктуру? Ні. Сайт можна відновити з резервної копії і виправити вразливість за 15 хвилин. 

Як забезпечити захист? Оскільки у нас все централізоване, потрібно децентралізувати управління ІТ-системами.






УКР | РУС
Головна | Новини | Публікації | Колонки
©2006-2015 "Економічна правда"