Хакеры атаковали ряд веб-сайтов украинских госучреждений. Факты указывают на то, что было совершен взлом веб-сайтов и подменено их содержимое (так называемая атака deface или подмены контента). Доказательств того, что нападающим удалось проникнуть глубже, пока нет.

Но сообщение, которое разместили злоумышленники, говорит о другом, если коротко – украинцы, бойтесь, ваше государство не может вас защитить в киберпространстве. Обычная риторика геополитически мотивированного, спонсируемого государством-агрессором APT, притворяемого группой хактивистов.

Но мнение о возможной утечке данных после такого события автоматически закрадывается в головах граждан.

Пока такой сценарий маловероятен, но все может измениться. Почему есть сомнения в "глубоком проникновении"? Публичные веб-сайты редко обращаются к большим хранилищам действительно чувствительных данных, минуя адекватные средства безопасности. Но отношение к кибербезопасности в целом и в учреждениях в частности, далеко от "лучших практик".

Откуда может происходить атака? Ниже догадки мои и коллег.

Рука России

Первый, кто приходит в голову, – северный сосед. Учитывая 100 000-ю армию, которую Россия собрала у границ Украины, информационная кампания выглядит вполне логичной и своевременной. Цель очевидна: посеять среди украинцев панику, в очередной раз поляризовать общество и дискредитировать власть. И учитывая живой интерес к событиям и уровень комментариев в СМИ, им это уже удалось.

Однако, где факты

Во-первых, подозрение на использование атакованными веб-сайтами системы управления содержимым OctoberCMS, написала журналистка Ким Зеттер, автор расследования первой в истории кибератаки на критическую инфраструктуру Stuxnet.

Зеттер дает ссылку на уязвимость, которая, по ее мнению, была использована для взлома. Это ничем не примечательная дыра безопасности со средним уровнем риска (6.4/10), которая при умелом использовании может дать хакеру возможность перехватить контроль над чужой учетной записью. Уязвимость была найдена еще осенью прошлого года.

Детали уязвимости можно прочитать по ссылке, а детали эксплуатации умелому аналитику из аппсика будут очевидны из диффов соответствующего исправления, ссылки на которые можно найти там же.

Конечно, привлекают внимание специалисты, которые нашли и отчитались об этом недостатке безопасности. Список из характерных имен и фамилий можно найти в благодарности разработчиков OctoberCMS за их отчет об этой уязвимости.

- Andrey Basarygin
– Andrey Guzei
– Mikhail Khramenkov
– Александр Сидуков
– Maxim Teplykh

Несколько минут поиска в интернете дают и без того очевидный результат: это все российские граждане, очень активно занимающиеся поиском уязвимостей в популярном программном обеспечении.

При поиске информации об этих людях всплывают такие учреждения как Positive Technologies и Ростелеком, однако внимание привлекает другой объект совместных исследований. Это еще одна система управления содержимым веб-сайтов Typo3. И так, они нашли в ней и ее популярных расширениях несколько не менее интересных уязвимостей.

Я не аналитик по киберугрозам, но интуиция подсказывает мне, что если у вас Typo3, начните расследовать инцидент прямо сейчас.

Ища благодарности и упоминание этих "спецов" в различных security advisories, можно построить очень интересную соцсеть российских исследователей безопасности: кто с ними сотрудничал и какие уязвимости в других системах репортил.

Уважаемые аналитики государственных киберцентров, к вам обращаюсь. У вас где-то в Casefile уже есть подробный граф их отношений и фактов сотрудничества?

Вот, например, отчет на Хабр о целом ряде CMS, по которым прошлась внутренняя команда пентестеров Ростелекома:

- Contao
– Concrete5
– ExpressionEngine
– Typo3
– OctoberCMS
– ModX

Список продуктов интересен и очень популярен, и если у вас есть что-нибудь из этого, и вы его не обновляете, смотрите совет о Typo3 выше.

Список участников исследования тоже интересен, но вы уже видели его раньше: Андрей Басарыгин, Максим Теплых, Михаил Храменков, Андрей Гузей, Александр Колесов, Александр Сидуков.

В статье "The Router Security Is Decadent and Depraved" (журнал Paged Out! за 1 августа 2019 года) в соавторах числится "Igor Chervatyuk", и становится очевидно, что у них с Басарыгиным на счету есть успехи не только в веб-приложениях, но и вполне себе в хардкорном реверсе.

То есть ребята исследуют, отчитываются и продвигают мировую кибербезопасность. Как защитную – позволяя вендорам исправить уязвимости, так и наступательную – позволяя спецслужбам превратить уязвимости в оружие и использовать в кибератаках против систем, админы которых не спешат с обновлениями.

Публичной информации о такой деятельности достаточно: исследования уязвимостей очень хорошо влияют на карьеру специалистов по кибербезопасности и бизнес их работодателей. Ища исследования, отчеты, соавторов и так по кругу – складывается очень интересная картина. В частности, о том, откуда и по каким точкам нам следовало бы ожидать следующего удара. Надеюсь, именно таким анализом сейчас заняты аналитики украинских государственных центров защиты от киберугроз.

Вместо того, чтобы раздавать спекулятивные комментарии телеканалам, я потратил несколько минут для подготовки этого текста.

Надеюсь, он натолкнул вас на конструктивные размышления. Берегитесь.

Оригинал