На украинские правительственные сайты этой ночью совершили масштабную хакерскую атаку. Не работали сайты Минобороны, МИД, ГСЧС, Дии и другие. По состоянию на 14.00 работу почти всех сайтов возобновили. Инцидент расследуют СБУ и Киберполиция. Официальная причина взлома пока неизвестна, но эксперты говорят, что хакеры могли проникнуть на сайты через систему управления контентом October CMS
Ключевые факты и комментарии
- Не работали сайты Кабмина – сайты Минобороны, МИД, Минагрополитики, Министерства по делам ветеранов, Государственной службы чрезвычайных ситуаций, Минэнерго, а также сайт Дии.
- На сайте МИДа хакеры оставили сообщения с угрозами на украинском, русском и польском языках: «Украинец! Все ваши личные данные были загружены в общую сеть. Все данные на компьютере уничтожаются, восстановить их невозможно. Вся информация о вас стала публичной, бойтесь и ждите худшего. Это вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галицию, за Полесье и за исторические земли».
- Сообщение на польском было написано с грамматическими ошибками и выглядело как онлайн-перевод украинской или русской версии.
- По состоянию на 9.55 работа большинства государственных ресурсов уже возобновлена, другие будут доступны в ближайшее время, сообщили в Госспецсвязи. Контент сайтов не пострадал, утечки персональных данных не произошло. Госспецсвязи, СБУ и Киберполиция собирают цифровые доказательства и занимаются расследованием инцидента.
- Портал Дия отключен, как и ряд других правительственных сайтов. Это необходимо для локализации проблемы и предотвращения распространения атаки на другие ресурсы, уточнили в Минцифре. Дия работает в штатном режиме.
- Профильные органы Евросоюза обсудят кибератаку на украинские правительственные сайты, сообщил верховный представитель Европейского союза по иностранным делам и политике безопасности Жозеп Боррель. По его словам, ЕС мобилизует "все ресурсы, чтобы помочь Украине справиться с этой кибератакой". «К сожалению, мы знали, что такое может произойти, – сказал Боррель во время встречи министров иностранных дел ЕС во Франции. – Трудно сказать (кто может стоять за кибератаками). Я не могу никого обвинять, потому что у меня нет доказательств, но мы можем себе представить».
Причина инцидента
Киберпреступники могли взломать государственные сайты через бесплатное программное обеспечение OctoberCMS, используемое для управления контентом. Об этом впервые написала американская журналистка-расследовательница Ким Зеттер, ссылаясь на собственные источники.
Позже такое же предположение высказало CERT-UA, подразделение Государственного центра киберзащиты, которое обязано отслеживать киберинциденты.
OctoberCMS используются для разработки, дизайна и редактирования сайтов. Он требует «мало знаний или навыков», – пишет открытая база данных CVE Details. В октябре она дала October оценку 6,4 из 10, где 10 получают системы, наиболее уязвимые к кибератак.
Об уязвимости October стало известно в мае прошлого года, рассказал Forbes Никита Кныш, эксперт по информационной безопасности. Киберпреступники проникали в эту систему, посылая запросы на сброс паролей.
Чтобы защитить правительственные сайты, нужно было обновить OctoberCMS еще в прошлом году, говорит Кныш, но правительственные органы этого не сделали. "Версия OctoberCMS, которую использовали украинские ведомства, устарела минимум на полгода", — рассказывает Шон Таундсен, соучредитель ОО "Киберальянс". – «Вероятно, министерства заказывали себе сайт, платили на тендере за их настройку, но не за дальнейшую поддержку».
Эта атака никому не угрожает, но напоминает быть осторожным
Этот тип кибератаки называют «дефейсом» – она причиняет вред репутации, но не влияет на работу министерств, ведь сайты можно быстро восстановить благодаря резервным копиям, рассказывает Кныш.
Кто может стоять за атакой? Эксперты указывают на Россию. Большинство кибератак на Украину уходят из России, согласно данным украинской киберполиции. «Мы всегда были игровой площадкой для российских хакеров, – говорит глава киберполиции Александр Гринчак. – Они проверяют, как Украина реагирует на киберугрозы или просто демонстрируют свою силу».
«На профессиональный подход российских спецслужб эта атака не похожа, – говорит Таусенд. – Они редко занимаются «дефейсом». У них в приоритете диверсии или воровство данных».
Кныш говорит, что это лишь первый шаг в более масштабной кибервойне: сначала хакеры наносят малый ущерб, чтобы увидеть, как действуют спецслужбы и правительство, а затем «идут в полную атаку», говорит он.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.