Кібербезпека

Чергова масована кібератака на Україну: як це стало можливим та які наслідки

У ніч з 13 на 14 січня десятки урядових сайтів стали жертвами хакерського удару, а на сторінках окремих поламаних ресурсів з’явилися погрози на адресу українців. Як це сталося та що вдалося зробити кіберзлочинцям?

Коментарі спеціалістів у сфері кібербезпеки

Андрій Баранович, Sean Brian Townsend

— За яким принципом були обрані сайти для атаки?

— Принцип дуже простий: вони всі працювали на одній і тій самій не оновленій версії програмного забезпечення.

У ньому була знайдена вразливість у травні 2021 року, і за сім місяців ніхто в жодному з міністерств і відомств, які зазнали атаки, не спромігся оновити ПЗ.

Навіть більше: якби софт був налаштований правильно, тоді можна було б навіть не оновлювати ПЗ – вразливість не подіяла б. Але ПЗ було не налаштоване і не оновлене.

— Хто повинен був налаштовувати та оновлювати сайти?

— Усе залежить від того, як у держорганів укладені договори. Я підозрюю, що міністерство замовляє собі сайт, фірма-підрядник створює його, встановлює, налаштовує, і на цьому робота завершена, за підтримку сайту не платять.

Я не можу знайти іншу причину, чому в центральних органах влади сім місяців не оновлюється софт, коли відомо, що в ньому є діра.

— Чому атака мала успіх?

— Тому що перелік вразливостей October CMS публічно доступний. Інформація про те, які вразливості існують у тій збірці (версії програмного забезпечення – ЕП) і як ними можна користуватися, відкрита.

— Як у майбутньому потрібно попереджувати такі атаки?

— Такі атаки відбуваються через тотальну безвідповідальність. Наші законодавці і виконавча влада літають у хмарах, мріють про кібервійська, придумують якісь абсолютно нездійсненні кібер-стратегії.

Натомість усе, що потрібно робити, – це виконувати елементарні обов'язки, тобто обслуговувати всі ці інформаційні системи.

Якщо ці обов’язки нема кому виконувати, тоді ті ІТ-системи потрібно просто вимкнути і перейти на паперове діловодство. Тому що комп'ютерна система в некерованому вигляді існувати не може.

Нехай наймають адміністраторів, нехай шукають підрядників, які ці системи будуть обслуговувати. А якщо просто один раз встановити, а далі буде як буде – усе закінчиться катастрофою.

— Як ви оцінюєете інформаційний ефект від публікації провокаційної інформації на зламаних ресурсах?

— Мотиви зломщиків зрозумілі. Вони прагнуть посварити Україну з Польщею, тому що текст перекладений польською мовою, написано про споконвічні галицькі землі.

Тут усе залежить від реакції міністерств закордонних справ України та Польщі. Для всіх очевидно, що це навряд чи польські хакери. Це можуть бути хакери з Росії чи Білорусі.

Особисто мені соромно за те, що половину уряду завалили публічною вразливістю піврічної давнини. Це означає, що в кібербезпеці в нас кінь не валявся, не дивлячись на всі заяви влади.

Микита Книш, Founder і СЕО HackControl

— Злам веб-ресурів відбувся через вразливість у CMS, про яку було відомо ще з травня 2021 року. Але у нас в Міністерстві цифрової трансформації вважають, що питання кібербезпеки дещо переоцінене і результати ми бачимо.

З точки зору безпеки дефейс сайту (зміна вмісту головної сторінки) не передбачає якихось критичних проблем. Якби хакер хотів іншого ефекту, він міг би змінити файли всередині системи. Але сайт виконує лише ознайомчу функцію.

Ця кібератака лише в черговий раз повністю дискредитує систему кібербезпеки України. Хочу сказати людям, які це зробили, велике дякую, що в черговий раз показали, наскільки у нас все "діряве".

Коли до нас приходила кіберполіція, ми казали, що є великі проблеми з кібербезпекою державних ресурсів, ми пропонували безкоштовно їх протестувати. Ми попереджали, що в разі початку війни таким же чином будуть іти повідомлення про мінування установ, організацій, об’єктів критичної інфраструктури.

Усе відбувається чітко за сценарієм, про який адекватні люди попереджали всі міністерства заздалегідь.

Спочатку йде атака, ціль якої – вичерпати всі ресурси силових відомств у Києві, тобто фейкові мінування. Наступним кроком є поширення паніки, тобто проведення спеціальних інформаційних операцій. Усе це – частина гібридної війни.

Сьогодні, мабуть, відбулася друга частина спеціальної інформаційної операції. Її ціль – показати, що ваша кібербезпека на нулі. І третя частина – це зазвичай повномасштабне вторгнення. У всякому разі так було у 2014 році.

Це стандартна методологія, за якою діють росіяни і білоруси.

Я підкреслюю, що це просто публічне приниження. Чи зачіпає це критичну інфраструктуру? Ні. Сайт можна відновити з резервної копії і виправити вразливість за 15 хвилин.

Як забезпечити захист? Оскільки в нас все централізоване, потрібно децентралізувати управління ІТ-системами.

Джерело "Економічна правда" П'ЯТНИЦЯ, 14 СІЧНЯ 2022, 14:45 - ВСЕВОЛОД НЕКРАСОВ https://www.epravda.com.ua/news/2022/01/14/681462/