Держава без смартфону. Чому в атаці на держсайти винні не чужі хакери, а свої дилетанти

Масовий дефейс. Чому не відкривається більшість офіційних сайтів

У ніч із 13 на 14 січня було проведено дефейс-атаку на багато офіційних державних сайтів. Це атака хакера, в результаті якої здійснюється заміна вмісту головної сторінки сайту іншою сторінкою, а доступ до іншого вмісту блокується. Сторінка-підміна може містити загрози, дані для викупу, після виплати якого сайт нібито стане доступним, або просто непристойні малюнки. Атаку було здійснено на сайти Кабінету міністрів, Мінагрополітики, Міністерства закордонних справ, ДСНС, Мінветеранів, Держказначейства, Міністерства захисту навколишнього середовища, Міністерства освіти та навіть сайт "Дія". На головних сторінках сайтів було розміщено повідомлення трьома мовами – українською, російською та ламаною польською про те, що всю персональну інформацію українців завантажено в мережу, а дані на комп'ютері будуть знищені. Також хакери заявляли, що зламування сайтів — це нібито покарання за дії ОУН УПА за часів Другої світової війни. Ймовірно, автори повідомлення хотіли видати себе за жителів Польщі, які обурені подіями 70-річної давності, проте пропозиції польською були написані так коряво, що сумнівів майже не залишається — автор повідомлення не є носієм мови та використав один із онлайн-перекладачів.

Вже до ранку багато ресурсів було відключено фахівцями організації CERT-UA і вміст дефейсу зберігся тільки на скріншотах. Всього понад 20 сайтів було зачеплено дефейсом або відключено для запобігання результатам атаки. Недоступний також сайт компанії-розробника урядових порталів KitSoft.

Шон Таунсенд, речник Українського кіберальянсу, радник з питань кібербезпеки "Демократичної сокири" встиг проаналізувати метадані (EXIF) фотографії-скриншота. EXIF-інформація фото містить додаткові відомості про знімок, у тому числі про те, де він зроблений, чи піддавався редагуванню, за допомогою якої камери та якими редакторами фото змінювалося і багато іншого. За словами Шона, фото зроблено на парковці неподалік школи економіки у Варшаві. Ймовірно, у поєднанні з польським перекладом одного з написів це має стати ще одним підтвердженням причетності польських хакерів до цієї атаки.

Причина атаки: чужі хакери чи свої дилетанти

Вранці 14 січня після того, як фахівці CERT-UA оперативно відключили основні державні сайти, кіберполіція повідомила про те, що вона збирає докази та шукає причетних до атаки, а також готується до відкриття кримінальної справи за статтею 361 "Несанкціоноване втручання у роботу комп'ютерів, автоматизованих систем чи мереж".

Міністерство цифрової трансформації опублікувало свою заяву, в якій наголошується на наступному:

• контенту сайтів не торкнулися;
• робота більшості ресурсів відновлюється;
• витоку персональних даних не відбулося.

У свою чергу експертка з безпеки Кім Зеттер написала, що атака стала результатом експлуатації вразливості CVE-2021-32648 системи управління контентом OctoberCMS, на якому працювали державні сайти. Іншими словами, проблема пов'язана з умовною операційною системою, яка керувала роботою офіційних українських сайтів. Зазвичай при виникненні вразливості розробник ПЗ усуває її і публікує оновлення, яке нівелює вразливість, тобто "закриває" дірку, за допомогою якої можна зламати сайт або пристрій. Після встановлення такого оновлення вразливість користувачам вже не страшна – використовувати її неможливо. Але якщо оновлення не встановити, то вразливістю може скористатися практично будь-яка зацікавлена людина з достатніми технічними навичками. Вразливість було виявлено у квітні, у серпні про неї попередили користувачів OctoberCMS та опублікували оновлення, яке мало захистити сайти від небезпеки. Адміністраторам сайтів достатньо було просто оновити платформи, і сьогоднішня атака була б неможливою. Хто відповідальний за те, що платформи не було оновлено, – відповідь на це запитання має дати поліція.

Дефейс, "Дія" та цифрові вибори

Українці, для яких витоки даних стали повсякденною подією, насамперед цікавилися захистом їхньої інформації та працездатністю сервісу "Дія". У Мінцифри наголосили, що атака не вплинула на працездатність мобільного додатку. Хоча у коментарях у соцмережах деякі користувачі скаржилися на те, що низка документів з "Дії" зникла на деякий час, але потім знову з'явилася.

Портал "Дія" не працював, але пізніше в Мінцифри зробили редирект (пересилання) з основного сайту проекту https://diia.gov.ua/ на альтернативну версію за адресою https://plan2.diia.gov.ua/, на якій розміщено лише опис проектів "Цифрової держави".

Незважаючи на те, що "Дія" не постраждала від цього витоку, складнощі з роботою програми стали такими ж частими, як і обіцянки влади про хороше життя. І хоча цього разу обійшлося лише недоступністю сайтів (хоча про це ми можемо судити лише за заявою Мінцифри), історія з дефейсом сайтів продемонструвала очевидну неготовність інформаційних систем країни до проведення онлайн-голосування на всіх рівнях – від голосування депутатів у Парламенті до волевиявлень громадян. Гарантувати те, що в момент підрахунку голосів не відбудеться черговий дефейс або інша атака, сьогодні не візьметься ніхто. У той же час, якщо слідувати логіці голосування в смартфоні, то пристрої користувачів, які будуть передавати такі важливі дані, як результати голосування, не можна вважати захищеними, особливо при існуванні дуже витончених програм для кібератак, здатних заражати гаджети без втручання користувачів.

І знову про роль кібербезпеки

Дефейс офіційних державних ресурсів вкотре змушує згадати сентенцію про перебільшену роль кібербезпеки.

Це твердження Мінцифри звучить ще більш нищівно після аналізу причин дефейсу та розуміння того, що злом став результатом звичайної недбалості технічних фахівців, які відповідають за працездатність офіційних ресурсів (або їх повної відсутності через брак коштів – такі припущення також висловлювалися багатьма експертами).

У гібридній війні, у стані якої перебуває Україна вже не перший рік, атаки на інформаційні ресурси або на об'єкти критичної інфраструктури стають одними з головних способів заподіяння шкоди противнику. Спроби захисту критичної інфраструктури на законодавчому рівні повинні підкріплюватися реальними діями щодо технічної та організаційної системи захисту. Тим більше, що українські енергосистеми вже були об'єктом потужної атаки понад 5 років тому. Незабутньою стала атака за допомогою Petya A, яка паралізувала роботу банків, пошти, телеканалів. А сьогодні, коли рівень та обсяги цифрових послуг набагато вищі, так само як і вміння та інструментарій хакерів, такі атаки можуть торкнутися не лише обленерго чи інформаційних ресурсів міністерств та відомств, а системи водопостачання чи диспетчерських аеропортів, тим більше, що до таких нападів кібервоїни готуються вже не перший рік.

На жаль, старий новий рік показав українцям, що збудувати нову цифрову державу, мислячи старими категоріями, неможливо.