Хакери змогли зламати 70 урядових сайтів, зокрема сайт "Дії". Як це вдалося?

У ніч із 13 на 14 січня невідомі хакери атакували сайти українських міністерств, урядовий портал, портал судової влади, судові реєстри та сайт "Дія". Частину сайтів відключили для "недопущення розширення атаки", опівдні 14 січня вони все ще не працювали. Кібератака охопила близько 70 сайтів центральних та регіональних органів влади та стала найпотужнішою за останні чотири роки.

У Держспецзв'язку стверджують, що контент сайтів не змінено, і хакери не отримали доступу до реєстрів, де зберігаються дані українців. Єдина помітна дія хакерів – картинка з текстом українською, російською та польською мовами про помсту українцям "за минуле, сьогодення і майбутнє".

Liga.Tech поговорила з експертами про причини кібератаки, можливості витоку даних та приклади за кордоном.

Через яку лазівку зламали сайти?

Редакція опитала Андрія Барановича з ГО "Український кіберальянс", голову ГО "Електронна республіка" Євгена Поремчука та голову ГО "Електронна демократія" Володимира Фльонца. Експерти заззначають такі причини:

• пролом у системі October CMS, на якій працюють сайти українських міністерств та відомств. Вона не оновлювалася з травня 2021 року. Частина сайтів відомств працює на старій версії іншої системи – Wordpress. Через застарілі версії, що не враховують всі загрози кібербезпеки, і стаються такі зломи;
• відсутність працівників, відповідальних за підтримку та оновлення системи сайтів;
• відсутність загальної державної політики кібербезпеки, покликаної захистити насамперед від концентрації ризиків та їх наслідків – масованих атак;
• однакові монопольні IT-рішення для всіх відомств, що спрощують злам сайтів. Більшість державних порталів робить одна компанія. Як пише epravda, це київська компанія Kitsoft (ТОВ "Комп'ютерні інформаційні технології"), що спеціалізується на створенні IT-продуктів для держорганів та бізнеса. Її сайт також не працює;
• держава не виділяє гроші на підтримку сайтів міністерств та відомств.

Доповнено о 21.00 14.01.2022

Держспецзв'язку разом із СБУ та Кіберполіцією з'ясували, що "відбулася так звана supply chain attack, тобто атака через ланцюжок поставок". Повідомляється, що зловмисники зламали інфраструктуру комерційної компанії, що мала доступ із правами адміністрування до вебресурсів, які постраждали внаслідок атаки.

Очевидно, йдеться про компанію Kitsoft. Своєю чергою у Kitsoft стверджують, що постраждали не лише сайти, які вони обслуговували.

Чи був витік інформації?

Кіберполіція стверджує, що витоку даних не було, Мінцифра каже, що реєстри не були зламані. Баранович з "Українського кіберальянсу" згоден із ними – на його думку, хакери просто отримали доступ до сайтів та вивісили на них картинку.

Поремчук вважає інакше – наявність витоку оцінити неможливо. Експерт вважає, що комунікаційники держструктур просто озвучили обнадійливу версію подій про відсутність викрадення особистих даних. Отримавши доступ до сайту, хакери, щонайменше, отримали базу працівників відомств. За словами Поремчука, для крадіжки даних не потрібно здійснювати гучну кібератаку, їх можна викачувати нишком протягом багатьох років.

Артем Старосєк, CEO компанії Molfar, що займається аналітикою у сфері IT, зазначає, що вразливість, через яку зламали сайти українських відомств, дає частковий, не найкритичніший доступ до сайтів. Питання в тому, чи зберігалися дані на тому сервері, до якого хакери отримали доступ.

Підписуйтесь на LIGA.Tech у Telegram: тільки важливе

Хто стоїть за кібератакою?

Держспецзв'язок поки що не називає того, хто стоїть за кібератакою. У відомстві лише наголосили, що "перші інформаційні повідомлення про атаку на державні українські сайти з'явилися на інформаційних ресурсах сусідньої країни".

Текст у картинці, розміщеній на зламаних сайтах міністерств, був написаний російською, українською та польською мовами. У ньому були рядки: "Це вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся та за історичні землі". Експерти зазначають наявність у картинці даних про локацію, де вона була зроблена. Це Варшава.

Польща вже вказала на Росію як джерело цієї кібератаки. "Кібератака, про яку повідомила українська сторона, є частиною типової діяльності спецслужб Російської Федерації", – заявив речник міністра, який координує роботу польських спецслужб, Станіслав Жарин.

Можливими замовниками експерт ГО "Український кіберальянс" Андрій Баранович називає Росію чи Білорусь, оскільки мета повідомлення, опублікованого на держсайтах, – "посварити Україну та Польщу". Поремчук з "Електронної республіки" вважає те, що сталося, радше актом залякування, ніж зломом.

"Для злому урядових сайтів це не може бути необережною помилкою, вони могли спеціально їх вказати для скеровування хибним слідом", – говорить Старосєк про варшавську локацію зображення.

Чи трапляється таке в інших країнах?

Кібератаки є у всьому світі, як окремі, так і масовані, каже Володимир Фльонц. Масовані атаки грунтуються на певній слабкій ланці. Якщо брати український приклад – це історія з M.E.Doc та вірусом NotPetya (2016-2017 роки), за кордоном це масований злом через SolarWinds (2020 рік), випадки з Microsoft Exchange Server або Java Log4Shell (2021 рік).

Євген Поремчук наголошує, що такі примітивні кібератаки – це рідкість. З більш складних атак він наводить приклад кібератаки на Colonial Pipeline. У 2021 році сталася кібератака на оператора найбільшого трубопроводу. Причиною став витік пароля одного з працівників. Компанії довелося зупинити роботу трубопроводу, який сполучає Мексиканську затоку з півднем і сходом США, у зв’язку з чим в 17 штатах та окрузі Колумбія запровадили режим НС. Пізніше компанія заплатила здирникам викуп у розмірі $5 млн.

У контексті кібератак на держоргани Артем Старосєк із Molfar наголошує про атаку Sunburst, що торкнулася у 2020 році тисяч державних та комерційних організацій у США та за межами. Серед них – міністерства торгівлі, фінансів, національної безпеки США, Національний інститут охорони здоров'я, компанії Microsoft та Nvidia.

Британія та США пов'язали Sunburst із Росією. Схожа на українську історія відбулася в Індії у 2013 році, коли пакистанські хакери зламали сайти семи міністерств та розмістили там картинку з маскою Гая Фокса.

Чи зробила Україна висновок після Petya (NotPetya)?

Артем Старосєк зазначає, що у випадку з вірусами Petya була інша ситуація – там вірус-шифрувальник прийшов з автоматичним оновленням сервісу M.E.Doc. "Суто технічно NotPetya – це інша історія, інші технології та інший шлях ураження. Але організаційно проблеми ті ж  – концентрація ризиків, поява слабкої ланки і як наслідок – атака на неї", – каже Володимир Фльонц.

Важливий момент – як буде висвітлено та розслідувано нещодавню кібератаку, які будуть зроблені висновки, підкреслює Фльонц. Експерт наводить приклад розслідування "дорогої спрямованої хакерської атаки з багатомісячною підготовкою" на сайті президента України стосовно нібито підпису Джо Байдена.

"Де-факто його поховано вже 240 днів", каже Фльонц про розслідування. "Поки не буде публічно визнано проблему – не буде наслідків, не буде змін і подібні ситуації повторюватимуться", – зауважує експерт.

У кіберполіції Liga.Tech не надали коментарі, пославшись на опубліковану на сайті новину.