Чергова масована кібератака на Україну: як це стало можливим та які наслідки

П'ятниця, 14 січня 2022, 13:45 -
У ніч з 13 на 14 січня десятки урядових сайтів стали жертвами хакерського удару, а на сторінках окремих поламаних ресурсів з’явилися погрози на адресу українців. Як це сталося та що вдалося зробити кіберзлочинцям?

Хакерська атака в ніч з 13 на 14 січня на понад 15 державних сайтів відбулася через вразливість системи керування вмістом сайту, про яку було відомо з травня 2021 року.

Вірогідно, атака відбулася централізовано через одну приватну ІТ-компанію, яка створювала всі ці сайти. Сценарій нападу на державні інформаційні ресурси нагадує кібератаку 2017 року через ПЗ M.E.Doc.

Кібератака

Сайти українських організацій знову стали жертвою хакерських атак. Цього разу зловмисники вдарили по урядових установах.

У ніч з 13 на 14 січня були зламані "Дія", сайти Державної служби надзвичайних ситуацій, Міністерства закордонних справ, Міністерства охорони здоров'я, Міносвіти, Міністерства молоді та спорту, Міненерго, Мінагрополітики, Кабінету міністрів, Державної казначейської служби та інших органів.

Атакували і сайт Нацбанку, проте, як переконують у регуляторі, усі спроби вдалося нейтралізувати.

Перелік адрес державних інформаційних ресурсів, які постраждали внаслідок кібератаки

Хакерська атака не позначилася на роботі державних органів, принаймні офіційно. Деякі установи повідомили, що актуальну інформацію до моменту відновлення IT-систем можна отримати на сторінках відомств у соцмережах.

"Актульна інформація про роботу Казначейства та відновлення сайту буде оприлюднена на офіційній Facebook-cторінці Казначейства. Рахунки для сплати платежів доступні на офіційному сайті Державної податкової служби", – говориться в повідомленні Держказначейства.

На сторінці Міністерства закордонних справ зловмисники розмістили повідомлення українською, російською та польською мовами, у якому залякують користувачів: "Всі дані на комп'ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся і чекайте гіршого".

Послання було зроблене трьома мовами: українською, російською та польською

У посланні українцям, яке хакери залишили на сайті Міністерства закордонних справ, версія польською мовою видає, що ті, хто його писав, не є носіями мови.

Як пише "Європейська правда", на це звернули увагу журналісти польського видання Wprost, а конкретні приклади у коментарі ЄП навели носії польської мови.

Урядові експерти доводять, що хакерська атака на українські урядові сайти здійснювалася з Росії.

"Такої масової атаки на держоргани не було давно. Припускаємо, що нинішня пов’язана з недавньою поразкою Росії на переговорах щодо майбутньої співпраці України з НАТО.

Днями Москва відновила військові навчання біля кордонів України. Хакерські дії на українські держоргани можуть бути частиною психологічної атаки на українців", – наголосили в Центрі стратегічних комунікацій та інформаційної безпеки.

За даними центру, на російський слід вказує і хронологія поширення новини. Спочатку інформація з’явилася в соцмережах, далі – у "зливних бачках", а потім її активно поширили російські видання.

У Міністерстві цифрової трансформації заспокоюють: "Роботу більшої частини атакованих державних ресурсів уже відновлено. Контент сайтів залишився без змін, витоку персональних даних не відбулося. Інші сайти відновлять роботу найближчим часом".

Розслідуванням інциденту зайнялися Служба безпеки України, Держспецзв'язку та департамент кіберполіції Нацполіції. Зараз вони збирають цифрові докази.

"Вирішується питання щодо відкриття кримінального провадження за статею 361 ("Несанкціоноване втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку") Кримінального кодексу", – повідомили в департаменті кіберполіції.

Як хакери атакували Україну раніше

Грудень 2015 року

За допомогою троянського програмного забезпечення BlackEnergy три невстановлені хакери 23 грудня 2015 року вивели з ладу частину енергосистеми України.

Вони атакували комп'ютери "Прикарпаттяобленерго". У результаті було вимкнено майже 30 підстанцій. Близько 230 тис громадян протягом однієї-шести годин були без електроенергії.

Грудень 2016 року

Організована група хакерів проникла у телекомунікаційні мережі Міністерства фінансів, Державної казначейської служби та Пенсійного фонду. Вона вивела з ладу низку комп'ютерів та знищила критично важливі бази даних, що стосуються роботи Держказначейства та Пенсійного фонду.

Україна програє кібервійну. Хакери атакують державні фінанси

У результаті 7 грудня 2016 року було заблоковано проведення обов'язкових платежів на сотні мільйонів гривень Держказначейством та Пенсійним фондом. Платежі проходили із затримками або не проходили взагалі, не працювали сайти Міністерства фінансів та Держказначейства.

Грудень 2016 року

17 грудня 2016 року в результаті атаки на частину електромережі України п'ята частина київської агломерації разом з Київською ГАЕС була знеструмлена. Відключення частини київської енергомережі тривало одну годину.

Блекаут по-київськи: чим загрожує кібератака на енергомережу Києва і хто за нею стоїть

Червень 2017 року

Напередодні Дня Конституції сталася найбільша за всю історію України кібератака на комп'ютерні системи фінансових установ, енергетичних підприємств, засобів масової інформації, об'єктів транспорту та інфраструктури, телекомунікаційних мереж та інших великих організацій.

Це війна: Україну потрясла найбільша в історії кібератака

Потрапивши в комп'ютер, вірус Petya.A зашифровував усі дані та вимагав заплатити 300 дол у криптовалюті Bitcoin. Після переказу коштів зловмисники обіцяли надіслати ключ до шифру.

Від тієї кібератаки постраждали понад сто компаній. Серед них – Ощадбанк, "Укрпошта", "Нова пошта", "Укренерго", "Укртелеком", Міністерство інфраструктури, Міненерговугілля, "24 канал", телеканали "Інтер" та "Перший національний".

Як атакували Україну: старий новий хак

Перші здогадки про те, як хакерам вдалося реалізувати кібератаку, оприлюднила американська журналістка Кім Зеттер. Причиною могла стати вразливість системи керування вмістом сайтів October CMS, яку виявили ще в травні 2021 року.

Через кілька годин на сайті СБУ з’явилося повідомлення про кібератаку з рекомендаціями правоохоронців щодо шляхів усунення вразливості. Спеціалісти спецслужби пропонують "Оновити OctoberCMS до останньої версії (мінімум до 472)".

October – це система управління вмістом сайту (CMS) з відкритим вихідним кодом. Перший її реліз відбувся 15 травня 2014 року. Систему використовують, зокрема, Toyota, KFC та Nestle. October особливо популярна серед користувачів у США, Росії, Швейцарії, Польщі, Нідерландах та Великобританії.

Атаковані державні сайти були побудовані на CMS October київською ІТ-компанією Kitsoft (ТОВ "Комп'ютерні інформаційні технології"), яка спеціалізується на створенні IT-продуктів для державних органів і бізнесу.

У листопаді 2021 року стало відомо, що компанія виграла тендер на розробку Єдиного державного порталу електронних послуг на замовлення ДП "Дія" вартістю 38,4 млн грн.

Предмет торгів – розробка нових та модернізація наявних компонентів "Дії" з розширенням програм-апаратних можливостей та уніфікацією комплексу в рамках забезпечення цифровізації paperless.

Частину коштів, 12,7 млн грн, у 2021 році виділили з держбюджету. Kitsoft повинна закінчити всі роботи до кінця 2022 року. Сайт Kitsoft теж не працює.

Утім, кешування сторінки компанії в Google показало, що ТОВ "Комп'ютерні інформаційні технології" створювало інтернет-ресурси для майже 40 державних органів, установ та організацій. Серед них такі.

  • Будівельні послуги СС1 в "Дії".
  • Новий дизайн сайту Верховної Ради.
  • "Дія" – платформа державних послуг онлайн.
  • Страховий поліс у застосунку "Дія".
  • "Допомога з безробіття" на порталі "Дія".
  • "е-Гавань" (електронний кабінет моряка).
  • "єМалятко".
  • Фонд соціального захисту інвалідів.
  • Міністерство закордонних справ.
  • КП "Київтеплоенерго".
  • Антимонопольний комітет.
  • Донецька обласна державна адміністрація.
  • Національний комітет спорту інвалідів.
  • Міністерство аграрної політики та продовольства.
  • Державна служба морського та річкового транспорту.
  • Державна казначейська служба.
  • Міністерство в справах ветеранів.
  • Урядовий портал.
  • Дизайн-система державних сайтів України.
  • Український державний центр радіочастот.
  • Міністерство освіти і науки.
  • Міністерство екології та природних ресурсів.

За даними з відкритих реєстрів, у жовтні-листопаді 2021 року Kitsoft виграло три тендери державного КП "Головний інформаційно-обчислювальний центр" вартістю від 1,3 млн грн до 4,4 млн грн.

Kitsoft працює у сфері комп'ютерного програмування з 2007 року з керівником та основним з двох бенефіціарів Олександром Єфремовим.

Коментарі спеціалістів у сфері кібербезпеки

Андрій Баранович, Sean Brian Townsend

— За яким принципом були обрані сайти для атаки?

— Принцип дуже простий: вони всі працювали на одній і тій самій не оновленій версії програмного забезпечення.

У ньому була знайдена вразливість у травні 2021 року, і за сім місяців ніхто в жодному з міністерств і відомств, які зазнали атаки, не спромігся оновити ПЗ.

Навіть більше: якби софт був налаштований правильно, тоді можна було б навіть не оновлювати ПЗ – вразливість не подіяла б. Але ПЗ було не налаштоване і не оновлене.

— Хто повинен був налаштовувати та оновлювати сайти?

— Усе залежить від того, як у держорганів укладені договори. Я підозрюю, що міністерство замовляє собі сайт, фірма-підрядник створює його, встановлює, налаштовує, і на цьому робота завершена, за підтримку сайту не платять.

Я не можу знайти іншу причину, чому в центральних органах влади сім місяців не оновлюється софт, коли відомо, що в ньому є діра.

— Чому атака мала успіх?

Тому що перелік вразливостей October CMS публічно доступний. Інформація про те, які вразливості існують у тій збірці (версії програмного забезпечення – ЕП) і як ними можна користуватися, відкрита.

Як у майбутньому потрібно попереджувати такі атаки?

Такі атаки відбуваються через тотальну безвідповідальність. Наші законодавці і виконавча влада літають у хмарах, мріють про кібервійська, придумують якісь абсолютно нездійсненні кібер-стратегії.

Натомість усе, що потрібно робити, – це виконувати елементарні обов'язки, тобто обслуговувати всі ці інформаційні системи.

Якщо ці обов’язки нема кому виконувати, тоді ті ІТ-системи потрібно просто вимкнути і перейти на паперове діловодство. Тому що комп'ютерна система в некерованому вигляді існувати не може.

Нехай наймають адміністраторів, нехай шукають підрядників, які ці системи будуть обслуговувати. А якщо просто один раз встановити, а далі буде як буде – усе закінчиться катастрофою.

Як ви оцінюєете інформаційний ефект від публікації провокаційної інформації на зламаних ресурсах?

Мотиви зломщиків зрозумілі. Вони прагнуть посварити Україну з Польщею, тому що текст перекладений польською мовою, написано про споконвічні галицькі землі.

Тут усе залежить від реакції міністерств закордонних справ України та Польщі. Для всіх очевидно, що це навряд чи польські хакери. Це можуть бути хакери з Росії чи Білорусі.

Особисто мені соромно за те, що половину уряду завалили публічною вразливістю піврічної давнини. Це означає, що в кібербезпеці в нас кінь не валявся, не дивлячись на всі заяви влади.

Американська консультантка з кібербезпеки Лора Галанте: Росія готова атакувати

Микита Книш, Founder і СЕО HackControl

— Злам веб-ресурів відбувся через вразливість у CMS, про яку було відомо ще з травня 2021 року. Але у нас в Міністерстві цифрової трансформації вважають, що питання кібербезпеки дещо переоцінене і результати ми бачимо.

З точки зору безпеки дефейс сайту (зміна вмісту головної сторінки) не передбачає якихось критичних проблем. Якби хакер хотів іншого ефекту, він міг би змінити файли всередині системи. Але сайт виконує лише ознайомчу функцію.

Ця кібератака лише в черговий раз повністю дискредитує систему кібербезпеки України. Хочу сказати людям, які це зробили, велике дякую, що в черговий раз показали, наскільки у нас все "діряве".

Коли до нас приходила кіберполіція, ми казали, що є великі проблеми з кібербезпекою державних ресурсів, ми пропонували безкоштовно їх протестувати. Ми попереджали, що в разі початку війни таким же чином будуть іти повідомлення про мінування установ, організацій, об’єктів критичної інфраструктури.

Усе відбувається чітко за сценарієм, про який адекватні люди попереджали всі міністерства заздалегідь.

Спочатку йде атака, ціль якої – вичерпати всі ресурси силових відомств у Києві, тобто фейкові мінування. Наступним кроком є поширення паніки, тобто проведення спеціальних інформаційних операцій. Усе це – частина гібридної війни.

Сьогодні, мабуть, відбулася друга частина спеціальної інформаційної операції. Її ціль – показати, що ваша кібербезпека на нулі. І третя частина – це зазвичай повномасштабне вторгнення. У всякому разі так було у 2014 році.

Це стандартна методологія, за якою діють росіяни і білоруси.

Я підкреслюю, що це просто публічне приниження. Чи зачіпає це критичну інфраструктуру? Ні. Сайт можна відновити з резервної копії і виправити вразливість за 15 хвилин.

Як забезпечити захист? Оскільки в нас все централізоване, потрібно децентралізувати управління ІТ-системами.