У ніч з 13 на 14 січня ціла низка сайтів українських держорганів пішла в офлайн. Постраждали 70 сайтів, серед яких — сайти Міністерства цифрової трансформації, Міністерства освіти, Міністерства закордонних справ, портал «Дія», Мінрегіону та інші. Правоохоронці розслідують атаку, є кілька версій, хто і навіщо її проводив. Редакція AIN.UA зібрала все, що відомо про цей інцидент.
Що сталось: мастшаби атаки
Атаку, яку в соцмережах уже назвали #attack13 (за цим тегом можна слідкувати за новинами про неї), за масштабом порівнюють із атакою віруса Petya/NotPetya 2017 року. Хоча поки що виглядає, що у “атаки13” менш руйнівні наслідки: експерти з кібербезу вважають, що це дефейс — атака, що відключає або видозмінює головну сайту (наприклад, щоб проголосити якийсь меседж). Більшість сайтів унаслідок атаки пішли в офлайн, але на сайті МЗС та деяких інших зловмисники вивісили провокативне повідомлення: мовляв, усі дані українських громадян було вивантажено.
Уже в понеділок, 17 січня, про проблеми, що можливо пов’язані з даною атакою, повідомив Шевченківський районний суд: немає доступу до електронної пошти суду, офіційного сайту суду на порталі «Судова влада», підсистеми «Електронний суд», автоматизованої системи документообігу суду та інше.
А у Держспецзв’язку повідомили 17 січня, що відбулась атака на сторінку форуму Prozorro Infobox: на ній з’явилось те саме повідомлення, що раніше на сайтах МЗС та інших держорганів. Наразі сторінку вимкнено, а фахівці проводять розслідування та працюють над оперативним відновленням роботи форуму. Форум Prozorro Infobox — це окрема система, не пов’язана із системою закупівель Prozorro, яка працює штатно. За даними Держспецзв’язку, ані сам ресурс Prozorro Infobox, ані сам портал Prozorro не постраждали.
Цікаво, що в ніч атак також були спроби зовнішніх хакерських атак на ресурси НБУ, за даними регулятора, їх проводили невідомі особи з різних країн світу. Але ці атаки вдалося нейтралізувати, в тому числі спробу отримати доступ до головної сайту НБУ.
Ще в перший день після атаки і Мінцифри, і Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, і Державна служба спеціального зв’язку та захисту інформації заявляли про те, що хакери не отримали доступу до державних реєстрів та баз даних.
«На головній сторінці цих сайтів було розміщено повідомлення провокаційного характеру. Контент сайтів при цьому змінено не було та витоку персональних даних не відбулося», — повідомили в CERT-UA 14 січня.
В СБУ заявили, що хоча 10 із 70 атакованих сайтів і зазнали втручання, їхній контент змінено не було, а також не було витоку персональних даних.
У той же день співзасновник monobank Олег Гороховський повідомив, що банк тимчасово зупиняє продаж сервісів електронних полісів автоцивілки (ОСЦПВ) через сбій у базах Моторного (транспортного) страхового бюро України (МТСБУ). І що цей збій може бути пов’язаний із хакерською атакою на державні ресурси. «Ходять наполегливі чутки про те, що бази МТСБУ знищені хакерами, і характер збою викликає занепокоєння тим, що ці чутки правдиві», — написав Гороховський.
Уже 16 січня 2021 року Держспецзв’язку повідомила про те, що інформація з баз даних МТСБУ не була втрачена, і реєстр відновить свою роботу найближчим часом.
«Внаслідок кібератаки була втрачена низка зовнішніх інформаційних ресурсів МТСБУ. Реєстру, який містить персональні дані мільйонів українських автовласників, не ушкоджено. Уже найближчим часом він має відновити свою роботу, для чого фахівці МТСБУ розгортають нову “чисту” інформаційну інфраструктуру», — повідомили у держслужбі.
Більшість постраждалих від атаки ресурсів уже відновили свою роботу.
Що відомо про засоби та цілі атаки
Правоохоронці та держслужби, що займаються розслідуванням інциденту, розглядали одночасно кілька версій. Одна з них, яку аналізували у CERT-UA: атака через вразливість CVE-2021-32648 у сервісі OctoberCMS (один із його засновників — росіянин Олексій Бобков, що живе у Канаді), про неї ми писали раніше.
У Мінцифри назвали іншу версію: хакери отримали доступ до адмінправ компанії, що адмініструє атаковані сайти. Може йтися про компанію Kitsoft, яка розробляє та адмініструє державні сайти — її cайт досі не працює. Джерела, що наближчені до команди розслідувачів, повідомили AIN.UA, що саме ця версія є зараз основною і по ній проводяться перевірки.
Kitsoft ще 14 січня виступила із заявою, яку оновлювала пізніше. Вона повідомила, що:
- Над розслідуванням ситуації працює Держспецзв’язку спільно з СБУ та Кіберполіцією. Компанія Kitsoft як розробник також залучена до відновлення роботи державних сайтів.
- Атака мала комплексний, складний характер і кілька векторів розвитку сценаріїв. У Kitsoft виявили, що постраждали не тільки сайти, розроблені самою компанією, а й інші, зокрема, портал судової влади, Держслужби з надзвичайних ситуацій, Мінрегіону та інші.
У коментарі AIN.UA компанія розповіла, що не володіє інформацією про отримання хакерами доступу до більшої кількості даних, аніж про те, що вже відомо. В компанії також повідомили, що держсайти, які розробляла Kitsoft, та яким надавала технічну підтримку, проходили вчасне тестування, виявлення та виправлення вразливостей. «Проте навіть не всі сайти, які ми розробляли, перебували у нас на підтримці. Із 70 сайтів, що постраждали, близько 20 розроблені іншими організаціями, і є дані, що для деяких сайтів, які не встигли оновитись, дана вразливість була використана», — сказали у компанії.
Також у Kitsoft повідомили, що зараз беруть участь у розслідуванні атаки:
«Ми співпрацюємо з державними органами що розслідують атаку. Обладнання не вилучалось, але ми були вимушені частково призупинити роботу нашої інфраструктури з огляду на ризики використання нашої інфраструктури для продовження атаки».
У той же час правоохоронці та експертна спільнота розглядали й інші можливі сценарії для атаки. Зокрема, що дефейс був ширмою для якихось більш серйозних та масштабних шкідливих дій.
15 січня 2021 року компанія Microsoft опублікувала детальний звіт про деструктивне програмне забезпечення, спрямоване на організації в Україні, яке вперше виявили 13 січня. Атаку проаналізував центр аналізу загроз Microsoft Threat Intelligence Center (MSTIC). Цей вірус, попередньо класифікований як DEV-0586, за словами компанії, зроблено так, щоб він нагадував вірус-вимагач, що просить грошей за доступ до заблокованого контенту. Одначе йому бракує механізму відновлення цього контенту, а отже, як припускають у компанії, це скоріше вірус-вайпер, чия мета — знищення ресурсів.
З іншого боку, як вважає фахівець із кібербезпеки, Senior Consultant у Armorum Solutions Кір Важницький, Microsoft поки не пов’язує цей зразок з будь-якими спрямованими атаками. Так, він був виявлений у січні і до того не реєструвався, причому його виявили саме у держустановах України. Але поки передчасно стверджувати, що саме цей вірус був основою атак.
Ще одну версію атаки озвучив у коментарі Reuters колишній очільник Кіберполіції, а тепер заступник секретаря РНБО Сергій Демедюк. За його словами, за атакою стоїть хакерське угрупування UNC1151, що пов’язане із спецслужбами Білорусі. Демедюк вважає, що дефейс був прикриттям для більш деструктивних дій, про які поки не відомо, але наслідки яких Україна може відчути найближчим часом.
AIN.UA звернувся фахівців з кібербезпеки за оцінкою ситуації. На думку Влада Стирана, CEO Berezha Security Group, найбільш ймовірними наразі видається російське походження атаки. Наводимо його коментар нижче.
«Не знаю, які вхідні дані є в РНБО, проте точно знаю, що для повної атрибуції трьох днів замало. Цілком можливо, що під час атаки були використані певні інструменти і техніки, які вказують на певні хакерські групи. Але сам факт, що в групи код UNC1151 свідчить, що впевненості немає. UNC в аналізі кіберзагроз — це скорочене Uncategorized. Тобто, за цим кодом є певний набір ознак, які вказують, що, напевно, це одна група щось робить. Але яка — аналітики ще не впевнені.
Я впевнений, що за атакою стоять росіяни. Також я впевнений що дослідники, про яких я написав раніше, не брали в атаці участь. Мета мого тексту була в тому, щоб показати рівень досліджень безпеки в Росії. […] Те, про що повідомила Microsoft (вайпер через MBR), виглядає більш логічно, ніж дефейс сайтів. Взагалі, версія що дефейс — це диверсія, щоб відволікти нас від більш витонченої операції, мені подобається значно більше. Проте оцієї витонченої операції щось геть не видно — постраждали буквально кілька десятків машин, це не виглядає як заявка на успіх. Але продовжуємо спостерігати, події можуть розгортатися далі».
Senior Consultant у Armorum Solutions Кір Важницький поділяє цю думку:
«Атака на держустанови, яка не має комерційної мети — кому ще, крім РФ, це вигідно? Навіть, якщо атака (або її частина) виконана руками білорусів».
З приводу повідомлення від Національного координаційного центру кібербезпеки про атаку BleedingBear (саме про неї писали в Microsoft) Важницький вважає, що ще зарано робити висновки про структуру атаки:
«Чи була вона частиною цієї атаки? Це одне з найскладніших питань. Малоймовірно співпадіння у часі, але одна атака, або декілька — казати передчасно. Можливо, одна атака (на публічні вебсайти) прикривала іншу, більш руйнівну, і це був єдиний план. Можливо, хакери використовували різні методи в різних системах, в залежності від можливостей, які побачили».
Update: За даними Держспецзв’язку, на 14:00 17 січня 2021 року майже всі сайти, що постраждали від атаки, повернулись до роботи. Що ж до того, в який спосіб хакери провели атаку й отримали доступ до державних ресурсів, на даний момент розглядають версію комбінованої атаки (supply chain attack та експлуатація вразливостей OctoberCMS та Log4j):
«Версія щодо використання програми-вайпера, що знищує дані, перевіряється. Для цього Держспецзв’язку взаємодіє з компанією Microsoft у рамках укладеної влітку угоди про співробітництво Government Security Program.
Водночас вже зараз можна стверджувати про значно вищу складність атаки, ніж модифікація стартової сторінки вебсайтів. Низку зовнішніх інформаційних ресурсів було знищено зловмисниками в ручному режимі. Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню чисельність.
Зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливостей OctoberCMS та Log4j. Також, починаючи з п’ятниці, фіксуються DDoS-атаки на низку постраждалих органів державної влади. Робоча група залучила міжнародних експертів з метою достовірного встановлення джерела походження атаки».