Ночью с 13 на 14 января произошла хакерская атака на сайты государственных органов. Не работали сайты Минобороны, МИД, ГСЧС, «Дії» и другие. Вероятно, веб-ресурсы являлись составляющими одной инфраструктуры. Таким образом, хакеры совершили атаку на всю инфраструктуру.
Хакеры не меняли контент сайтов и не скачивали персональные данные, которые они содержали. Единственное, что они сделали – разместили сообщения провокационного характера. Такой тип атаки называется Deface. Хакеры меняют главную или другую важную для сайта страницу. При этом домен страницы не меняется.
Пользователи сайта, перейдя по знакомой ссылке, попадают на совсем другую с виду страницу. Обычно доступ к другим страницам сайта блокируется или весь контент сайта удаляется. В нашем случае этого не произошло.
Обычно такие атаки проводятся для закрепления своего статуса в хакерских сообществах, селф-пиаре и т.д. Однако в этой атаке отсутствуют очевидные ссылки на некоторых хакеров или APT.
Предварительный анализ оставленного злоумышленниками изображения на взломанном сайте позволяет сделать предположение об умышленной провокации с целью ухудшения отношений между Украиной и Польшей. Кроме текста, содержащего очевидные коннотации по поводу сложных исторических моментов взаимодействия Украины и Польши, добавленная иллюстрация содержит EXIF – метаданные с меткой, ведущей в школу в Варшаве.
Все домены взломанных веб-сайтов отключены, ведутся работы по восстановлению и сбору материалов для дальнейшего расследования.
Сайты были взломаны с помощью уязвимости в продукте OctoberCMS
В уязвимых версиях пакета October/system злоумышленник может запросить сброс пароля учетной записи, а затем получить доступ к учетной записи с помощью специально созданного запроса. Проблема устранена в Build 472 и v1.1.5. То есть атака произошла из-за того, что на государственных сайтах был несвоевременно обновлен этот продукт.
Атака случилась ночью. Это типично для киберзлоумышленников, ведь ночью шансы успешности взлома существенно возрастают. Персонал спит, поэтому никто не мешает хакерам проводить атаку.
Уже сейчас можно предположить, что в инфраструктуре взломанных сайтов отсутствовал или плохо настроен процесс тестирования на проникновение и сканирование на уязвимости.
Вероятно, плохо функционировала и SIEM (Security Information and Event Management). Эта технология определяет проблемные места в системе безопасности, в режиме реального времени уведомляет специалистов ІБ о любых событиях и контролирует доступ работников к определенным базам данных и серверам, в соответствии с уровнем допуска.
Для предотвращения атак представителям информационной безопасности государственных органов стоит:
1) обеспечить процесс проведения теста на проникновение и сканирование на уязвимости;
2) корректно настроить уведомления о подозрительных изменениях в инфраструктуре и системе SIEM;
3) построить SOC (Security Operations Center) и привлечь SoC-аналитика, следящего за работой системы безопасности;
4) своевременно обновлять программное обеспечение и софт;
5) внедрить процесс Patch management и отслеживать тренды хакерских атак, характерных для вашей деятельности. Совершенствуйте систему информационной защиты в соответствии с ними. Больше об этом мы писали ранее;
6) внедрить стандарт информационной безопасности ISO27001: проведение систематических внутренних аудитов.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.