У ніч з 13 на 14 січня 2022 року сайти багатьох українських відомств не працювали через хакерську атаку — дефейс (коли головну сторінку підміняють іншою, або якимсь повідомленням). На момент публікації деякі сайти досі недоступні.

Можливий спосіб проведення атаки — вразливість безкоштовної CMS-системи OctoberCMS. Про це пише американська журналістка-розслідувач Кім Зеттер, автор книги про атаку на ядерні об’єкти Ірана Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. Редакція AIN.UA першою розповідає, про що мова.

Оновлено: додана версія від Держспецзв’язку.

Що відомо про атаку

Від атаки постраждали кілька сайтів українських міністерств та державних сервісів, зокрема: Міністерства цифрової трансформації, Міністерства освіти, Міністерства закордонних справ, портал «Дія» та інші. Останній на момент публікації досі віддає помилку 503, хоча додаток «Дія» працює штатно.

За словами депутата Олександра Федієнка, заступника голови Комітету та голови підкомітету цифрової та смарт-інфраструктури, електронних комунікацій, кібербезпеки та кіберзахисту Комітету ВР з цифрової трансформації, хакери змогли тільки поміняти головні сторінки, а не отримати доступ до реєстрів та баз даних:

«Спостерігалися атаки на ряд державних ресурсів, але хакери змогли лише змінити основні сторінки сайтів і не змогли проникнути далі. Ведеться робота з локалізації наслідків. Державні служби спрацювали досить оперативно та більшість сайтів відключили для локалізації проблеми. Реєстри та бази даних у безпеці. Тобто витоку персональних даних не відбулось. На сайтах жодної інформації, крім новин, не зберігається».

В Мінцифри також заявили, що контент сайтів внаслідок атаки залишився без змін, і витоку персональних даних не відбулося. Усі сайти мають відновити роботу найближчим часом. З подібною заявою виступила і Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA.

Що відомо про вразливість OctoberCMS

OctoberCMS — це безкоштовна система для керування контентом сайту. Журналістка Кім Зеттер посилається на джерело, за яким атаку здійснили через вразливість саме у цій системі. Про вразливість CVE-2021-32648 було відомо з минулого року (прочитати детальніше). Через неї хакери могли надсилати запит на скидання пароля від акаунту в цій системі, а потім отримували до неї доступ. Оновлення до програми, що закриває цю вразливість, вийшло ще у вересні 2021 року. 

І, на думку експертів з кібербезпеки, IT-співробітники українських відомств могли просто вчасно не оновити програму, до версії без цієї вразливості. 

«Як розумію, Кім отримала номер CVE (міжнародний ідентифікатор вразливостей — ред.) від когось, хто має стосунок до розслідування інциденту. Думаю, досить ймовірно, що йдеться саме про цю вразливість. Їй уже багато місяців, і систему, судячи з усього, просто ніхто не оновив. І не в одному місці, а в багатьох (в цьому й біда)», — пояснив AIN.UA співзасновник «Українського кіберальянсу», відомий під ніком Шон Таунсенд.

На його думку, ця атака ймовірно не матиме серйозних наслідків: «Якщо це лише дефейси, і напевно це саме так, то пощастило». 

З таким трактуванням подій згоден й інший експерт з кібербезпеки, який захотів лишитися анонімним:

«Про вразливість було відомо ще з того року, а в міністерствах, судячи з усього, про це не знали. Низька кваліфікація чи просто не слідкували за останніми версіями CMS. Чи один раз заплатили якійсь компанії за встановлення та налаштування софта, і на цьому все закінчилось. У будь-якому випадку, якщо атака була через неї, то це — проблема самих міністерств, а саме — їхніх сисадмінів/девопсів, які мають слідкувати за оновленнями безпеки таких систем».

Декілька незалежних один від одного кіберекспертів розповіли AIN.UA, що схоже, проблема дійсно у невчасному оновлені.

Update 1: У CERT-UA також висловили припущення, що зловмисники могли провести атаку через вразливості October CMS.

Update 2: Свою версію під кінець дня 14 січня випустила і Державна служба спеціального зв’язку та захисту інформації (Держспецзв’язку). У повідомленні відомства йдеться про те, що версія із СMS була однією з тих, з якою працювали експерти. Але все ж таки зупинились на тому, що відбулася supply chain attack:

Зараз ми можемо з великою ймовірністю стверджувати, що відбулася так звана supply chain attack. Тобто атака через ланцюжок поставок. Зловмисники зламали інфраструктуру комерційної компанії, що мала доступ з правами адміністрування до вебресурсів, які постраждали внаслідок атаки.