Подробиці зламу 70 державних сайтів: найбільша в історії України атака на сайти державних органів
Матеріали розслідування Назара Токаря, засновника і керівника видання Tokar.ua:
Хакери замінили стартові сторінки повідомленнями з погрозами українською, російською та польською мовами, згадали про Волинь, УПА, Галичину й Полісся: так, щоби підозра впала на Польщу.
Але ця версія дуже сумнівна, в Exif-даних цього зображення немає жодних даних, окрім GPS-координат, що вказують на Варшаву. Як на мене, то занадто товстий натяк.
Журналісти польского видання WPROST заявили, що польська версія написана з помилками, і ймовірніше, її писав через автоперекладач той, хто не знає польської.
В українській версії також є помилки, бо “ждите худшего” треба було би перекласти “чекайте на найгірше”. Українську версію, мабуть, також писали через перекладач із російської.
Тож текст писали або російськовомні люди, або такі, що спеціально робили помилки на рівні шкільної програми.
В НБУ також заявили про атаку, що почалася ще раніше, але її, за даними банку, було нейтралізовано. Тож як таке могло статися?
За даними американської журналістки Кім Цеттер, щонайменше 15 зламаних сайтів працювали на October CMS, це розробка російського програміста Олексія Бобкова (з 2012 року живе в Канаді).
Чому саме російська розробка використана для українських урядових сайтів, питання відкрите.
Колись ця система мала відкритий код, але з квітня 2021-го перейшла на закритий.
Це популярна система, нею користуються Toyota, KFC та Nestle, вона популярна в США, Росії, Швейцарії, Польщі, Нідерландах та Британії.
2021 року в коді було знайдено критичний баг: зловмисник міг скористатися функцією відновлення паролю, щоб зайти до панелі й отримати контроль над сайтом. Сайт НБУ працює на іншій системі, і скоріш за все, це була одна з причин, чому його не зламали.
Чи можна було уникнути зламу? Якщо злам відбувся через згаданий баг і сайти вчасно оновлювали, цього би не сталося.
Оновитися можна за кілька хвилин. Більш того, при правильному налаштуванні серверу навіть неоновлену версію сайту зламати таким чином майже неможливо.
Схоже, що після створення міністерства не замовляли підтримки сайтів, тож на них просто залишилася застаріла версія.
Чи є альтернативи, не пов’язані з Росією? Так, і чимало. Зокрема, є простий, безкоштовний та популярний Wordpress, на якому працює більшість сайтів планети.
З квітня 2021 року користування російською October платне, ліцензія на один сайт коштує 9$ на рік (20 грн/місяць).
Сайти без ліцензій теж працюють, але оновлюватися не можуть. Зате з ліцензією сайт може оновлюватися автоматично.
Якщо причина зламу – це дійсно згаданий баг, то наші державники, ймовірно, зекономили, ліцензію не купували і, відповідно,систему не оновили.
Я не дивуюся такому підходу після того, як міністр цифрової трансформації Федоров заявив, що роль кібербезпеки "трохи перебільшена".
Мета такої атаки – щонайменше репутаційна (подальші наслідки побачимо згодом) – показати, через яке місце створюються та підтримуються сайти наших міністерств, зокрема, тих, які мали би відповідати за цифровізацію країни. У системі "Дія" є дані мільйонів українців.
А розробкою рішень для неї досі займається та ж компанія "Кітсофт", що віддає перевагу російським рішенням на 9-му році війни з Росією.
Розслідування Microsoft
З розслідування Microsoft стало відомо, що атаку було використано для прикриття більшого кібернападу, який, можливо, ще триває.
Поки невідомий реальний масштаб втрат, але заяви влади про те, що дані громадян не було втрачено, виглядають щонайменше передчасними.
Технічні деталі розслідування є в блозі Microsoft.
Видання Texty.org.ua опублікувало скорочену адаптацію українською.
Атака, ймовірно, проводилася через поставика ПЗ, вона схожа на атаки 2017 року. На ПК жертви переписується MBR (master boot record), з'являється повідомлення про шифрування і вимога викупу ($10к, скрін 1). Але немає id пристрою, отже, ймовірно, що й механізму відновлення роботи ПК немає.
Microsoft поки не змогли пов'язати атаки з відомими їм групами хакерів, достеменно відомо лише, що вони атакували державні установи та компанії, що працюють із ними, тут докладніше.
Атака на українські державні ресурси вже підтверджена. При цьому немає адекватного висвітлення з боку влади.
Ми дізнаємося подробиці зламу не від держави, як це має бути (СБУ, кіберполіція, міністри), а з розслідувань іноземних компаній та ЗМІ (Microsoft, AP, журналісти). Це провалена комунікація держави з громадянами, адже держава має першою надавати чіткі, достовірні й повні дані.
Щоб бути першими у курсі найсвіжіших новин Київщини, України та світу – переходьте і підписуйтесь на наш Telegram-канал «Погляд Київщина – Інформаційна Агенція». Також читайте нас у Facebook «Погляд Київщина» і дивіться на YouTube.