В ночь с 13 на 14 января 2022 года сайты многих украинских ведомств не работали из-за хакерской атаки — дефейс (когда главную страницу подменяют другой или каким-либо сообщением). На момент публикации некоторые сайты до сих пор недоступны.

Возможный способ проведения атаки – уязвимость бесплатной CMS-системы OctoberCMS. Об этом пишет американская журналистка-расследователь Ким Зеттер, автор книги об атаке ядерных объектов Ирана Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. Редакция AIN.UA первой рассказывает, о чем идет речь.

Обновлено: добавлена версия от Госспецсвязи.

Что известно об атаке

От атаки пострадали несколько сайтов украинских министерств и государственных сервисов, в частности Министерства цифровой трансформации, Министерства образования, Министерства иностранных дел, портал «Дія» и другие. Последний на момент публикации до сих пор отдает ошибку 503, хотя приложение «Дія» работает штатно.

По словам депутата Александра Федиенко, заместителя председателя Комитета и председателя подкомитета цифровой и смарт-инфраструктуры, электронных коммуникаций, кибербезопасности и киберзащиты Комитета ВР по цифровой трансформации, хакеры смогли только поменять главные страницы, а не получить доступ к реестрам и базам данных:

«Наблюдались атаки на ряд государственных ресурсов, но хакеры смогли только изменить основные страницы сайтов и не смогли проникнуть дальше. Ведется работа по локализации последствий. Государственные службы сработали довольно оперативно, и большинство сайтов отключили для локализации проблемы. Регистры и базы данных в безопасности. То есть утечки персональных данных не произошло. На сайтах никакой информации, кроме новостей, не хранится».

В Минцифре также заявили, что контент сайтов в результате атаки остался без изменений, и утечки персональных данных не произошло. Все сайты должны возобновить работу в ближайшее время. С подобным заявлением выступила и Правительственная команда реагирования на чрезвычайные события CERT-UA.

Что известно об уязвимости OctoberCMS

OctoberCMS – это бесплатная система для управления контентом сайта. Журналистка Ким Зеттер ссылается на источник, по которому атаку совершили из-за уязвимости именно в этой системе. Об уязвимости CVE-2021-32648 было известно с прошлого года (прочитать подробнее). Через нее хакеры могли посылать запрос на сброс пароля от аккаунта в этой системе, а затем получали к ней доступ. Обновление в программу, закрывающую эту уязвимость, вышло еще в сентябре 2021 года.

И, по мнению экспертов по кибербезопасности, IT-сотрудники украинских ведомств могли просто вовремя не обновить программу до версии без этой уязвимости.

«Как понимаю, Ким получила номер CVE (международный идентификатор уязвимостей — ред.) от кого-либо, кто имеет отношение к расследованию инцидента. Думаю, достаточно вероятно, что речь идет именно об этой уязвимости. Ей уже много месяцев, и систему, судя по всему, просто никто не обновил. И не в одном месте, а во многих (в этом и беда)», — объяснил AIN.UA соучредитель «Украинского киберальянса», известный под ником Шон Таунсенд.

По его мнению, эта атака вероятно не будет иметь серьезных последствий: «Если это только дефейсы, и если это именно так, то повезло».

С такой трактовкой событий согласен и другой эксперт по кибербезопасности, захотевший остаться анонимным:

«Об уязвимости было известно еще с того года, а в министерствах, судя по всему, об этом не знали. Низкая квалификация просто не следили за последними версиями CMS. Один раз заплатили какой-то компании за установку и настройку софта, и на этом все закончилось. В любом случае, если атака была из-за нее, то это проблема самих министерств, а именно их сисадминов/девопсов, которые должны следить за обновлением безопасности таких систем».

Несколько независимых друг от друга киберэкспертов рассказали AIN.UA, что, похоже, проблема действительно в несвоевременном обновлении.

Update 1: В CERT-UA также высказали предположение, что злоумышленники могли провести атаку из-за уязвимости October CMS.

Update 2: Свою версию к концу дня 14 января выпустила и Государственная служба специальной связи и защиты информации (Госспецсвязи). В сообщении ведомства говорится, что версия с СMS была одной из тех, над которой работали эксперты. Но все же остановились на произошедшем supply chain attack:

Сейчас мы можем с большой вероятностью утверждать, что произошла так называемая supply chain attack. То есть атака через цепочку поставок. Злоумышленники взломали инфраструктуру коммерческой компании, которая имела доступ с правами администрирования к пострадавшим в результате атаки вебресурсам.