Зранку 14 січня українські користувачі виявили, що багато офіційних державних сайтів або недоступні, або при спробі їх відкрити відображається не вміст сайту, а картинка з попередженням українською, російською та польською мовами про покарання українців за діяння ОУН УПА, розміщена хакерами.
Атака, в ході якої відбувається підміна головної сторінки ресурсу на інший вміст, називається «дефейсом» (deface). Дефейс не вважають серйозним зламом, бо така атака найчастіше не передбачає крадіжку даних. Вона спрямована радше на знищення репутації власників ресурсу та можливі втрати, які можуть виникнути в результаті непрацездатності сайту.
Інакше кажучи, це акт цифрового вандалізму. Він є демонстрацією умінь хакера та спробою підвищити впізнаваність серед колег, або певним варіантом попередження.
Хто постраждав?
Загальна кількість українських сайтів, які постраждали в результаті атаки, достеменно невідома. В офіційній заяві Мінцифри йдеться про «низку урядових сайтів». Утім, коментатори на Facebook-сторінці міністерства полічили, що число постраждалих перевищує 20, і, ймовірно, воно не остаточне.
Серед ресурсів, які зазнали атаки – сайт Кабміну, Мінрегіону, Міністерства освіти, Держслужби з надзвичайних ситуацій, а також портал «Дія» (хоча сам мобільний додаток не постраждав). Вранці згадували і про проблеми з сайтом «Метінвесту», проте по обіді він відображався коректно.
Близько полудня частина ресурсів (сайти Кабміну, Мінрегіонів та Мінцифри) відновили роботу. Втім, для деяких ресурсів ввечері зберігалася помилка 522 (проблеми з доступом до сайту), наприклад, для сайту ДСНС.
Також, станом на вечір 14 січня залишалися недоступними декілька сайтів, серед яких – Міністерства освіти, Мінветеранів та почасти ДСНС.
Портал «Дія» спочатку теж не працював, але потім з’явилася можливість перегляду сторінки, хоча не на звичному домені, а за іншою адресою.
Вміст цієї сторінки значно відрізняється від попередніх версій порталу «Дія», які можна переглянути, наприклад, у вебархіві.
Зокрема на новому порталі немає форм реєстрації, входу до кабінету, пояснення, що таке «Дія», новин та багатьох інших розділів сайту.
Також увечері 14 січня з’явилась інформація про атаку на сервери «Регіональної газової компанії» та ресурс 104.ua.
Утім, незрозуміло, про яку саме атаку йдеться. Якщо мова не про дефейс, а про атаку на відмову в обслуговуванні або виведення з ладу серверів чи білінгу компанії, то це набагато серйозніша проблема, яка зачепить і українські сім’ї, і підприємства.
Як відреагували офіційні структури?
Уже в першій половині дня фахівці з кібербезпеки виявили причини синхронного обвалу офіційних сайтів. Вони пов’язані з тим, що не була усунена певна вразливість системи управління контентом, — так званої OctoberCMS, на якій працювали ці сайти.
Про це писали як закордонні експерти з безпеки, так і українські фахівці. Доволі оперативно з’явилась інформація і на сайті та у Facebook-акаунті CERT-UA
На сайті CERT-UA опубліковано новину щодо кібератаки на сайти державних органів України з відповідними рекомендаціями https://cert.gov.ua/article/17899
Posted by CERT-UA on Friday, January 14, 2022
— урядової команди реагування на кіберінциденти. Завдяки фахівцям цієї структури, зображення, на які замінили офіційні сторінки держструктур, побачили лише деякі користувачі українського інтернету вночі. Доволі оперативно фахівці з CERT-UA «вимкнули» решту сайтів до з’ясування та усунення проблеми.
Опублікована інформація спеціалістами з CERT-UA дозволяє адміністраторам інших сайтів, які працюють на OctoberCMS, виправити можливі проблеми у себе.
Хто, вірогідно, стоїть за атакою?
Звичайно, всіх цікавить, хто стоїть за дефейсом такої кількості сайтів. Попри спроби зловмисників натякнути на «польський слід» — згадки ОУН УПА, Волині, польську мову звернення, йдеться радше про хакерів з іншої країни.
Тим більше, що журналісти польського видання Wprost виявили, що повідомлення польською писали явно не її носії.
Експерти Центру стратегічних комунікацій та інформаційної безпеки впевнені, що за атакою стоять російські хакери. Такий висновок фахівці аргументують аналізом хронології поширення новин про злам українських сайтів в російських медіа, які масово публікувалися вночі, коли більшість українців ще і не підозрювали про те, що трапилось.
Які проблеми показала «атака 14 січня» та які уроки з неї варто винести?
Доволі оперативні дії CERT-UA, безумовно, є позитивним прикладом реакції на інцидент. Проте ця реакції більше нагадує гасіння пожежі, якої цілком можна було уникнути.
Так, спікер Українського кіберальянсу Шон Таунсенд (Sean Brian Townsend) пояснює, що «атака через відомі вразливості – це соромно та трохи смішно».
Річ у тім, що компанія-розробник OctoberCMS повідомила про вразливість, яку використали хакери, ще в серпні 2021 року, запропонувавши всім користувачам своєї платформи встановити оновлення, яке усувало цю вразливість.
Інакше кажучи, публічно відома вразливість – це щось на зразок діри в паркані, про яку знають усі. І лише питання часу – коли через неї залізуть до обійстя.
Існування такої діри – свідчення того, що власники сайту аж ніяк не опікуються його захистом. А за умови настільки великої кількості атакованих сайтів, це дуже погана ознака стану кібербезпеки в країні загалом.
Тому відповідь на запитання, задане Шоном Таунсендом — про те, що буде, якщо сусідня, вороже налаштована держава, скористається не відомою вразливістю, а організує серйозну атаку, звучить вельми сумно.
Володимир Фльонц, керівник проєкту «Електронна демократія» додає: «Засмучує не те, що вразливість, через яку (вірогідно) зламали принаймні частину державних вебсайтів, була відома ще з літа. Засмучує те, що значно більше шансів дізнатися про такі деталі в Twitter американських журналістів, аніж з офіційного розслідування тут, в Україні».
А Микита Книш, експерт із інформаційної безпеки, засновник проєкту ProtectMaster та Hackcontrol впевнений, що дефейс – це атака на «приниження», і в цьому сенсі вона корисна, бо демонструє реальний рівень кіберзахисту в країні.
Якщо атака «14 січня» мотивує можновладців переглянути своє ставлення до кібербезпеки, цей інцидент можна вважати успішно-показовим. В протилежному випадку нам слід чекати набагато більш серйозних атак у майбутньому.