На українські урядові сайти цієї ночі здійснили масштабну хакерську атаку. Не працювали сайти Міноборони, МЗС, ДСНС, Дії та інші. Станом на 14:00 роботу майже усіх сайтів відновили. Інцидент розслідують СБУ та Кіберполіція. Офіційна причина взлому поки не відома, але експерти кажуть, що хакери могли проникнути на сайти через систему управління контентом October CMS
Ключові факти та коментарі
- Не працювали сайти Кабміну — сайти Міноборони, МЗС, Мінагрополітики, Міністерства у справах ветеранів, Державної служби надзвичайних ситуацій, Міненерго, а також сайт Дія.
- На сайті МЗС хакери залишили повідомлення з погрозами українською, російською та польською мовами: «Українець! Всі ваші особисті дані були завантажені в загальну мережу. Всі дані на компʼютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся і чекайте гіршого. Це вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся і за історичні землі».
- Повідомлення польською було написано з граматичними помилками та виглядало як онлайн-переклад української чи російської версії.
- Станом на 9:55 роботу більшості державних ресурсів уже відновлено, інші будуть доступні найближчим часом, повідомили в Держспецзвʼязку. Контент сайтів не постраждав, витоку персональних даних не відбулося. Держспецзвʼязку, СБУ та Кіберполіція збирають цифрові докази та займаються розслідуванням інциденту.
- Портал Дія відключено, як і низку інших урядових сайтів. Це необхідно для локалізації проблеми та запобігання поширення атаки на інші ресурси, уточнили в Мінцифри. Застосунок Дія працює в штатному режимі.
- Профільні органи Євросоюзу обговорять кібератаку на українські урядові сайти, повідомив верховний представник Європейського союзу із закордонних справ та політики безпеки Жозеп Боррель. За його словами, ЄС мобілізує «всі ресурси, щоб допомогти Україні впоратися з цією кібератакою». «На жаль, ми знали, що таке може статися, — сказав Боррель під час зустрічі міністрів закордонних справ ЄС у Франції. – Важко сказати (хто може стояти за кібератаками). Я не можу нікого звинувачувати, тому що у мене немає доказів, але ми можемо собі це уявити».
Причина інциденту
Кіберзлочинці могли взламати державні сайти через безкоштовне програмне забезпечення OctoberCMS, яке використовують для управління контентом. Про це вперше написала американська журналістка-розслідувачка Кім Зеттер, посилаючись на власні джерела.
Пізніше таке ж припущення висловив CERT-UA, підрозділ Державного центру кіберзахисту, який зобовʼязаний відслідковувати кіберінциденти.
OctoberCMS використовують для розробки, дизайну та редагування сайтів. Він потребує «дуже мало знань чи навичок», – пише відкрита база даних CVE Details. У жовтні вона дала October оцінку 6,4 з 10, де 10 отримують системи, які найбільш уразливі до кібератак.
Про вразливість October стало відомо у травні минулого року, розповів Forbes Микита Книш, експерт з інформаційної безпеки. Кіберзлочинці проникали у цю систему, надсилаючи запити на скидання паролів.
Щоб захистити урядові сайти, треба було оновити OctoberCMS ще в минулому році, каже Книш, але урядові органи цього не зробили. «Версія OctoberCMS, яку використовували українські відомства, застаріла мінімум на півроку», – розповідає Шон Таундсен, співзасновник ГО «Кіберальянс». – «Ймовірно, міністерства замовляли собі сайт, платили на тендері за їх налаштування, але не за подальшу підтримку».
Ця атака нікому не загрожує, але нагадує бути обережним
Цей тип кібератаки називають «дефейсом» – вона завдає шкоди репутації, але не впливає на роботу міністерств, адже сайти можна швидко відновити завдяки резервним копіям, розповідає Книш.
Хто може стояти за атакою? Експерти вказують на Росію. Більшість кібератак на Україну ідуть з Росії, згідно з даними української Кіберполіції. «Ми завжди були ігровим майданчиком для російських хакерів», – каже Олександр Гринчак, голова кіберполіції. – «Вони перевіряють, як Україна реагує на кіберзагрози, або просто демонструють свою силу».
«На професійний підхід російських спецслужб ця атака не схожа», – каже Таусенд. – «Вони рідко займаються «дефейсом». У них у пріоритеті диверсії або крадіжка даних.
Книш каже, що це лише перший крок у більш масштабній кібервійні: спочатку хакери завдають малої шкоди, щоб побачити, як діють спецслужби та уряд, а потім «ідуть у повну атаку», каже він.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.