Интересные факты о кибератаке на веб-сайты Украины. Очень просто понять, кто их хакнул
Хакеры атаковали ряд веб-сайтов украинских госучреждений. Факты указывают на то, что было совершен взлом веб-сайтов и подменено их содержимое (так называемая атака deface или подмены контента). Доказательств того, что нападающим удалось проникнуть глубже, пока нет.
Но сообщение, которое разместили злоумышленники, говорит о другом, если коротко – украинцы, бойтесь, ваше государство не может вас защитить в киберпространстве. Обычная риторика геополитически мотивированного, спонсируемого государством-агрессором APT, притворяемого группой хактивистов.
Но мнение о возможной утечке данных после такого события автоматически закрадывается в головах граждан.
Пока такой сценарий маловероятен, но все может измениться. Почему есть сомнения в "глубоком проникновении"? Публичные веб-сайты редко обращаются к большим хранилищам действительно чувствительных данных, минуя адекватные средства безопасности. Но отношение к кибербезопасности в целом и в учреждениях в частности, далеко от "лучших практик".
Откуда может происходить атака? Ниже догадки мои и коллег.
Рука России
Первый, кто приходит в голову, – северный сосед. Учитывая 100 000-ю армию, которую Россия собрала у границ Украины, информационная кампания выглядит вполне логичной и своевременной. Цель очевидна: посеять среди украинцев панику, в очередной раз поляризовать общество и дискредитировать власть. И учитывая живой интерес к событиям и уровень комментариев в СМИ, им это уже удалось.
Однако, где факты
Во-первых, подозрение на использование атакованными веб-сайтами системы управления содержимым OctoberCMS, написала журналистка Ким Зеттер, автор расследования первой в истории кибератаки на критическую инфраструктуру Stuxnet.
Зеттер дает ссылку на уязвимость, которая, по ее мнению, была использована для взлома. Это ничем не примечательная дыра безопасности со средним уровнем риска (6.4/10), которая при умелом использовании может дать хакеру возможность перехватить контроль над чужой учетной записью. Уязвимость была найдена еще осенью прошлого года.
Детали уязвимости можно прочитать по ссылке, а детали эксплуатации умелому аналитику из аппсика будут очевидны из диффов соответствующего исправления, ссылки на которые можно найти там же.
Конечно, привлекают внимание специалисты, которые нашли и отчитались об этом недостатке безопасности. Список из характерных имен и фамилий можно найти в благодарности разработчиков OctoberCMS за их отчет об этой уязвимости.
- Andrey Basarygin
– Andrey Guzei
– Mikhail Khramenkov
– Александр Сидуков
– Maxim Teplykh
Несколько минут поиска в интернете дают и без того очевидный результат: это все российские граждане, очень активно занимающиеся поиском уязвимостей в популярном программном обеспечении.
При поиске информации об этих людях всплывают такие учреждения как Positive Technologies и Ростелеком, однако внимание привлекает другой объект совместных исследований. Это еще одна система управления содержимым веб-сайтов Typo3. И так, они нашли в ней и ее популярных расширениях несколько не менее интересных уязвимостей.
Я не аналитик по киберугрозам, но интуиция подсказывает мне, что если у вас Typo3, начните расследовать инцидент прямо сейчас.
Ища благодарности и упоминание этих "спецов" в различных security advisories, можно построить очень интересную соцсеть российских исследователей безопасности: кто с ними сотрудничал и какие уязвимости в других системах репортил.
Уважаемые аналитики государственных киберцентров, к вам обращаюсь. У вас где-то в Casefile уже есть подробный граф их отношений и фактов сотрудничества?
Вот, например, отчет на Хабр о целом ряде CMS, по которым прошлась внутренняя команда пентестеров Ростелекома:
- Contao
– Concrete5
– ExpressionEngine
– Typo3
– OctoberCMS
– ModX
Список продуктов интересен и очень популярен, и если у вас есть что-нибудь из этого, и вы его не обновляете, смотрите совет о Typo3 выше.
Список участников исследования тоже интересен, но вы уже видели его раньше: Андрей Басарыгин, Максим Теплых, Михаил Храменков, Андрей Гузей, Александр Колесов, Александр Сидуков.
В статье "The Router Security Is Decadent and Depraved" (журнал Paged Out! за 1 августа 2019 года) в соавторах числится "Igor Chervatyuk", и становится очевидно, что у них с Басарыгиным на счету есть успехи не только в веб-приложениях, но и вполне себе в хардкорном реверсе.
То есть ребята исследуют, отчитываются и продвигают мировую кибербезопасность. Как защитную – позволяя вендорам исправить уязвимости, так и наступательную – позволяя спецслужбам превратить уязвимости в оружие и использовать в кибератаках против систем, админы которых не спешат с обновлениями.
Публичной информации о такой деятельности достаточно: исследования уязвимостей очень хорошо влияют на карьеру специалистов по кибербезопасности и бизнес их работодателей. Ища исследования, отчеты, соавторов и так по кругу – складывается очень интересная картина. В частности, о том, откуда и по каким точкам нам следовало бы ожидать следующего удара. Надеюсь, именно таким анализом сейчас заняты аналитики украинских государственных центров защиты от киберугроз.
Вместо того, чтобы раздавать спекулятивные комментарии телеканалам, я потратил несколько минут для подготовки этого текста.
Надеюсь, он натолкнул вас на конструктивные размышления. Берегитесь.