Государство без смартфона. Почему в атаке на госсайты виноваты не чужие хакеры, а свои дилетанты
Дефейс (подмена) официальных государственных ресурсов продемонстрировала технологические проблемы страны, которая движется к тому, чтобы быть "государством в смартфоне"
Массовый дефейс. Почему не открывается большинство официальных сайтов
В ночь с 13 на 14 января была проведена дефейс-атака на многие официальные государственные сайты. Это хакерская атака, в результате которой осуществляется подмена содержимого главной страницы сайта другой страницей, а доступ к остальному содержимому блокируется. Страница-подмена может содержать угрозы, данные для выкупа, после выплаты которого сайт якобы станет доступным или просто неприличные рисунки. Атака была осуществлена на сайты Кабинета министров, Минагрополитики, Министерства иностранных дел, ГСЧС, Минветеранов, Госказначейства, Министерства защиты окружающей среды, Министерства образования и даже сайт "Дія". На главных страницах сайтов было размещено сообщение на трех языках – украинском, русском и ломаном польском о том, что вся персональная информация украинцев загружена в сеть, а данные на компьютере будут уничтожены. Также хакеры заявляли, что взлом сайтов — это якобы наказание за действия ОУН УПА во времена Второй мировой войны. Вероятно, авторы сообщения хотели выдать себя за жителей Польши, которые возмущены событиями 70-летней давности, однако предложения на польском были написаны так коряво, что сомнений почти не остается — автор сообщения не является носителем языка и использовал один из онлайн-переводчиков.
Уже к утру многие из ресурсов были отключены специалистами организации CERT-UA и содержимое дефейса сохранилось только на скриншотах. Всего более 20 сайтов были затронуты дефейсом или отключены для предотвращения результатов атаки. Не доступен также сайт компании-разработчика правительственных порталов KitSoft.
Шон Таунсенд, спикер Украинского киберальянса, советник по вопросам кибербезопасности "Демократичної сокири" успел проанализировать метаданные (EXIF) фотографии-скриншота. EXIF-информация фото содержит дополнительные сведения о снимке, в том числе о том, где он сделан, подвергался ли редактированию, с помощью какой камеры и какими редакторами фото менялось и многое другое. По словам Шона, фото сделано на парковке недалеко от школы экономики в Варшаве. Вероятно, в сочетании с польским переводом одной из надписей, это должно стать еще одним подтверждением причастности польских хакеров к этой атаке.
Причина атаки: чужие хакеры или свои дилетанты
Утром 14 января после того, как специалисты CERT-UA оперативно отключили основные государственные сайты, Киберполиция сообщила о том, что она собирает доказательства и ищет причастных к атаке, а также готовится к открытию уголовного дела по статье 361 "Несанкционированное вмешательство в работу компьютеров, автоматизированных систем или сетей".
Министерство цифровой трансформации опубликовало свое заявление, в котором подчеркивается следующее:
- контент сайтов не затронули;
- работа большинства ресурсов восстанавливается;
- утечки персональных данных не произошло.
В свою очередь, экспертка по безопасности Ким Зеттер написала, что атака стала результатом эксплуатации уязвимости CVE-2021-32648 системы управления контентом OctoberCMS, на котором работали государственные сайты. Иными словами, проблема была связана с условной операционной системой, которая управляла работой официальных украинских сайтов. Обычно при возникновении уязвимости разработчик ПО устраняет его и публикует обновление, которое нивелирует уязвимость, то есть "закрывает" дыру, с помощью которой можно взломать сайт или устройство. После установки такого обновления уязвимость пользователям уже не страшна – использовать ее невозможно. Но если обновление не установить, уязвимостью может воспользоваться практически любой заинтересованный человек с достаточными техническими навыками. Уязвимость была обнаружена в апреле, в августе о ней предупредили пользователей OctoberCMS и опубликовали обновление, которое должно было защитить сайты от опасности. Администраторам сайтов достаточно было просто обновить платформы и сегодняшняя атака была бы невозможной. Кто ответственен за то, что платформы не были обновлены – ответ на этот вопрос должна дать полиция.
Дефейс, "Дія" и цифровые выборы
Украинцы, для которых утечки данных стали обыденным событием, в первую очередь интересовались защитой их информации и работоспособностью сервиса "Дія". В Минцифры подчркнули, что атака не повлияла на работоспособность мобильного приложения. Хотя в комментариях в соцсетях некоторые пользователи жаловались на то, что ряд документов из "Дії" исчез на некоторое время, но потом снова появился.
Портал "Дія" не работал, но позже в Минцифры сделали редирект (пересылку) с основного сайта проекта https://diia.gov.ua/ на альтернативную версию по адресу https://plan2.diia.gov.ua/, на которой размещено только описание проектов "Цифрового государства".
Несмотря на то, что "Дія" не пострадала от этой утечки, сложности с работой приложения стали такими же частыми, как и обещания властей о хорошей жизни. И хотя в этот раз якобы обошлось только недоступностью сайтов (хотя об этом мы можем судить только по заявлению Минцифры), история с дефейсом сайтов продемонстрировала очевидную неготовность информационных систем страны к проведению онлайн-голосования на всех уровнях – от голосования депутатов в Парламенте до волеизъявлений граждан. Гарантировать то, что в момент подсчета голосов не произойдет очередной дефейс или другого рода атака, сегодня не возьмется никто. В то же время, если следовать логике голосования в смартфоне, то устройства пользователей, которые будут передавать столь важные данные, как результаты голосования, нельзя считать защищенными, особенно при существовании очень изощренных приложений для кибератак, способных заражать гаджеты без вмешательства пользователей.
И снова о роли кибербезопасности
Дефейс официальных государственных ресурсов в очередной раз заставляет вспомнить сентенцию о преувеличенной роли кибербезопасности.
Это утверждение Минцифры звучит еще более уничтожающе после анализа причин дефейса и понимания того, что взлом стал результатом обычной халатности технических специалистов, отвечающих за работоспособность официальных ресурсов (или их полного отсутствия из-за нехватки средств – такие предположения тоже высказывались многими экспертами).
В гибридной войне, в состоянии которой находится Украина уже не первый год, атаки на информационные ресурсы или на объекты критической инфраструктуры становятся одними из главных способов нанесения ущерба противнику. Попытки защиты критической инфраструктуры на законодательном уровне должны подкрепляться реальными действиями по технической и организационной системе защиты. Тем более, что украинские энергосистемы уже были объектом мощной атаки более 5 лет назад. Незабываемой стала и атака с помощью Petya A, парализовавшая работу банков, почты, телеканалов. А сегодня, когда уровень и объемы цифровых услуг гораздо выше, равно как и умения и инструментарий хакеров, такие атаки могут затронуть не только облэнерго или информационные ресурсы министерств и ведомств, а системы водоснабжения или диспетчерские аэропортов, тем более, что к таким нападениям кибервоины готовятся уже не первый год.
К сожалению, старый новый год показал украинцам, что построить новое цифровое государство, мысля старыми категориями, невозможно.