Цікаві факти про кібератаку на вебсайти України. Дуже просто зрозуміти, хто їх хакнув
Хакери атакували низку вебсайтів українських держустанов. Факти вказують на те, що було здійснено злам вебсайтів і підмінено їхній вміст (так звана атака deface або підміни контенту). Доказів того, що нападникам удалося проникнути глибше, поки що немає.
Але повідомлення, яке розмістили зловмисники, говорить про інше, якщо коротко – українці, бійтеся, ваша держава не може вас захистити в кіберпросторі. Звичайна риторика геополітично вмотивованого спонсорованого державою-агресором APT, що втілюється групою хактивістів.
Але думка про можливий витік даних після такої події автоматично закрадається в головах громадян.
Поки що такий сценарій малоймовірний, але все може змінитися. Чому є сумніви у "глибокому проникненні"? Публічні вебсайти рідко напряму звертаються до великих сховищ дійсно чутливих даних, оминаючи адекватні засоби безпеки. Але ставлення до кібербезпеки загалом і в державних установах зокрема, далеке від "найкращих практик".
Звідки может походити атака? Нижче здогади мої та моїх колег.
Рука Росії
Перший, хто спадає на думку, – північний сусід. Зважаючи на 100 000-ну армію, яку Росія зібрала біля кордонів України, інформаційна кампанія виглядає цілком логічною і своєчасною. Мета очевидна: посіяти серед українців паніку, вчергове поляризувати суспільство та дискредитувати владу. І зважаючи на жвавий інтерес до подій і рівень коментарів у ЗМІ, їм це вже вдалося.
Проте, де факти
По-перше, підозра на використання атакованими вебсайтами системи управління вмістом OctoberCMS, написала журналістка Кім Зеттер, авторка розслідування про першу в історії кібератаку на критичну інфраструктуру Stuxnet.
Зеттер дає посилання на вразливість, яку, на її думку, було використано для зламу. Це нічим не примітна дірка безпеки з середнім рівнем ризику (6.4/10), що у разі вмілого використання може надати хакеру змогу перехопити контроль над чужим обліковим записом. Вразливість було знайдено ще восени минулого року.
Деталі вразливості можна прочитати за посиланням, а деталі експлуатації вмілому аналітику з аппсеку будуть очевидні з диффів відповідного виправлення, посилання на які можна знайти там само.
Звісно, привертають увагу спеціалісти, які знайшли й відзвітували про цей недолік безпеки. Список із характерних імен і прізвищ можна знайти в подяці розробників OctoberCMS за їхній звіт про цю вразливість.
- Andrey Basarygin
- Andrey Guzei
- Mikhail Khramenkov
- Alexander Sidukov
- Maxim Teplykh
Кілька хвилин пошуку в інтернеті дають і без того очевидний результат: це все російські громадяни, які дуже активно займаються пошуком вразливостей у популярному програмному забезпеченні.
Під час пошуку інформації про цих людей випливають такі установи як Positive Technologies і Ростелеком, проте увагу привертає інший об’єкт їхніх спільних досліджень. Це ще одна система управління вмістом вебсайтів Typo3. І так, вони знайшли кілька не менш цікавих вразливостей у ній та її популярних розширеннях.
Я не аналітик із кіберзагроз, проте інтуїція підказує мені, що у разі, якщо у вас Typo3, почніть розслідувати інцидент просто зараз.
Якщо шукати подяки та згадування цих "спеців" у різних security advisories, можна побудувати дуже цікаву соцмережу російських дослідників безпеки: хто із ними співпрацював і які вразливості в інших системах репортив.
Шановні аналітики державних кіберцентрів, до вас звертаюся. У вас же десь у Casefile вже є докладний граф їхніх стосунків і фактів співпраці?
Ось, наприклад, звіт на Хабр про цілу низку CMS, якими пройшлася внутрішня команда пентестерів Ростелекому:
- Contao
- Concrete5
- ExpressionEngine
- Typo3
- OctoberCMS
- ModX
Список продуктів цікавий і дуже популярний, і якщо у вас є щось із цього, і ви це не оновлюєте, дивіться пораду про Typo3 вище.
Список учасників дослідження теж цікавий, проте ви вже бачили його раніше: Андрій Басаригін, Максим Теплих, Михайло Храменков, Андрій Гузей, Олександр Колесов, Олександр Сидуков.
У статті "The Router Security Is Decadent and Depraved" (журнал Paged Out! за 1 серпня 2019 року) у співавторах випливає "Igor Chervatyuk", і стає очевидно, що в них із Басаригіним на рахунку є успіхи не лише у вебзастосунках, але й загалом собі у хардкорному реверсі.
Тобто хлопці досліджують, звітують і просувають світову кібербезпеку. Як захисну – коли дають вендорам можливість виправити вразливості, так і наступальну – коли дозволяють спецслужбам перетворити вразливості на зброю та використати в кібератаках проти систем, адміни яких не поспішають з оновленнями.
Публічної інформації про таку діяльність вистачає: дослідження вразливостей дуже добре впливають на кар’єру спеціалістів із кібербезпеки та бізнес їхніх роботодавців. Шукаючи дослідження, звіти, співавторів і так по колу – складається дуже цікава картина. Зокрема про те, звідки і по яких точках нам варто було б чекати наступного удару. Сподіваюся, саме таким аналізом зараз зайняті аналітики українських державних центрів захисту від кіберзагроз.
Замість роздавати спекулятивні коментарі телеканалам, я витратив кілька хвилин для підготовки цього тексту.
Сподіваюся, він наштовхнув вас на конструктивні роздуми. Бережіться.