Кібератака на державні сайти: причини, наслідки та «російські сліди»
17 січня 2022
17.01.2022

Кібератака на українські урядові сайти у ніч з 13 на 14 січня — одна з наймасштабніших за останні чотири роки після кібератаки notPetya, її причини та наслідки активно досліджують державні органи, журналісти та організації. Розповідаємо, що наразі відомо про інцидент.

Хто стоїть за кібератакою

Центр стратегічних комунікацій та інформаційної безпеки вважає, що кібератака може бути російським втручанням. На думку фахівців Центру, такі дії могли спровокувати перемовини щодо майбутньої співпраці України з НАТО. На це вказує хронологія поширення новини.

Спершу інформація з’явилась в соцмережах. Згодом її почали публікувати російські та проросійські видання:

04:04 — «”Бойтесь”: хакеры взломали сайт Министерства образования Украины» (alternatio.org);

04:14 — «”Бойтесь”: на сайте украинского министерства появились угрозы жителям» (ria.ru);

05:00 — «Хакеры взломали сайт министерства образования Украины» (echo.msk.ru);

05:03 — «”Ждите худшего”: Хакеры взломали сайты украинских министерств и разместили там угрозы» (life.ru).

Вранці про новину почали писати й українські медіа.

Заступник секретаря Ради національної безпеки та оборони України Сергій Демедюк розповів, що до масштабної кібератаки на державні сайти України може бути причетне хакерське угруповання, пов’язане з білоруською розвідкою.

«Попередньо ми вважаємо, що до цієї атаки може бути причетне угруповання UNC1151», — цитують заступника секретаря РНБО журналісти Reuters. Угруповання UNC1151 здійснювало атаки не тільки проти України, а й проти Литви, Латвії, Польщі й раніше поширювало наративи, які засуджують присутність НАТО в Європі.

«Угруповання спеціалізується на кібершпигунстві, що пов'язано з російськими спецслужбами (Службою зовнішньої розвідки РФ), і вдається до вербування або таємної роботи своїх інсайдерів у потрібній компанії», — зазначив Сергій Демедюк.

У Державній службі спеціального зв’язку та захисту інформації України заявили, що висновки можна буде зробити лише після розслідування.

«Я нікого не обвинувачував і жодного разу не назвав країну, яку ви згадали», — сказав заступник голови Держспецзв’язку Віктор Жора у відповідь на запитання журналістів, чи не стоїть за кібератаками Росія. За його словами, будь-які висновки про причетність тієї чи іншої сторони до кібератак, можуть бути зроблені після повномасштабного розслідування інциденту.

«Як тільки у нас будуть беззаперечні цифрові докази і розуміння того, що сталося, ми будемо готові вийти із відповідною заявою. Поки що розслідування триває, тому жодних конкретних звинувачень я і мої колеги не можуть висувати», — сказав Віктор Жора.

Можливі причини атаки

Міністр цифрової трансформації України Михайло Федоров заявив, що кібератака на сайти органів державної влади України в ніч з 13 на 14 січня мала на меті отримання доступу до адміністративних прав компанії, яка займається цими сайтами. Урядовець назвав подію «явною активізацією кіберфронту».

Центр стратегічних комунікацій та інформаційної безпеки припускає, що масова атака може бути частиною психологічної атаки Росії на українців.

Як могли здійснити атаку

Як пояснюють dev.ua, 15 січня корпорація Microsoft повідомила, що атака, яку назвали DEV-0586, не має зв’язку з відомими активностями хакерів, тобто це абсолютно новий інструмент.

Згідно з Microsoft, шкідливе програмне забезпечення виглядає як програма-вимагач, але не є нею насправді. Воно залишає жертві повідомлення з вимогою перерахувати на біткоїн-гаманець $10 000 для розблокування. Парарельно фахівці пишуть, що вірус не містить в собі механізму розблокування. Якщо держвідомство переведе гроші на вказаний рахунок, нічого не станеться.

Крім того, шкідлива програма «перетирає» файлову систему жертви, перетворюючи її файли в «сміття».

«Таким чином, Україна має справу з дуже серйозною атакою, наслідки якої ще не зрозумілі до кінця. І очевидно, що наступного тижня ми дізнаємося набагато більше новин — що ще зламано», — пише видання.

15 січня заступник секретаря Ради національної безпеки і оборони (РНБО) Сергій Демедюк розповів, що за атакою могла стояти група UNC1151, дії якої були «лише прикриттям для більш руйнівних дій, які відбувалися за лаштунками», і «наслідки яких Україна відчує найближчим часом».

До цього експерти припускали, що кібератака базувалася на найпростішій уразливості в CMS (Content Management System). Це система управління контентом на сайті, яка називається OctoberCMS. Про неї було відомо ще з травня. Держвідомства не провели своєчасного оновлення, чим і скористалися хакери, зробивши дефейс-атаку. Під час такого злому сторінку сайту замінюють на іншу, на якій розміщують рекламу, попередження, погрозу та інше. Такий тип кібератаки «створює метушню, шкоду репутації, але не особливо шкодить даними в мережевих ресурсах».

Зокрема кіберексперт Микита Книш писав, що атака базувалася на найпростішій уразливості в CMS (Content Management System) OctoberCMS. За його словами, про неї було відомо ще з травня.

Український центр реагування на кіберзагрози опублікував інструкцію, як держсайтам швидко усунути наслідки OctoberCMS.

Сайти українського уряду розробляла київська приватна IT-компанія Kitsoft (ТОВ «Комп'ютерні інформаційні технології»), що спеціалізується на створенні IT-продуктів для державних органів і бізнесу. Як пише «Економічна правда», найімовірніше, через цю компанію і була здійснена централізована кібератака.

Сайти відомств швидко відновилися завдяки резервним копіям.

«Ресурси (держустанов — ред.) були ізольовані (вони стали недоступні ззовні), а через деякий час запрацювали в колишньому режимі, що говорить про наявність неушкоджених бекапів»,сказав голова наглядової ради Octava Capital Олександр Кардаков.

Наслідки

Загалом хакери зламали майже 70 ресурсів, серед яких: сайт «Дія», сайти Державної служби надзвичайних ситуацій, Міністерства закордонних справ, Міністерства охорони здоров'я, Міносвіти, Міністерства молоді та спорту, Міненерго, Мінагрополітики, Кабінету міністрів, Державної казначейської служби та інших органів.

Атакували і сайт Нацбанку, проте, як переконують у регуляторі, усі спроби вдалося нейтралізувати.

Перелік адрес державних інформаційних ресурсів, які постраждали внаслідок кібератаки FACEBOOK ГІЛЬДІЯ IT ФАХІВЦІВ, джерело: Економічна правда

У Держспецзв'язку та Міністерстві цифрової інформації повідомили, що витоку даних українців не було.

За словами міністра цифрової трансформації України Михайла Федорова, 10 із 70 атакованих сайтів державних органів зазнали вторгнення, але їх контент не був змінений, витоку персональних даних також не було, «і не могло бути — це не реєстри».

«Сайти органів державної влади не зберігають напряму персональні дані, а реєстри під час цієї атаки не постраждали. Ми можемо говорити, що їхнього витоку не відбулось», — сказав Суспільному Юрій Щиголь, голова Держспецзв'язку.

Досі не відкривається стартова порталу diia.gov.ua — натомість йде переадресація на каталог послуг. Як написав співзасновник monobank Олег Гороховський у своєму Telegram-каналі, ходять чутки про те, що база Моторного (транспортного) страхового бюро України знищена хакерами, повідомляє dev.ua.

Служба безпеки України поділилась рекомендаціями щодо того, як усувати вразливості до кібератак.