Кібератакі на дзяржаўныя сайты Украіны (2022)

Хада падзей

Каля 70 дзяржаўных сайтаў, створаных на CMS October кампаніяй Kitsoft, падвергліся атакам. Kitsoft таксама ў цяперашні час распрацоўвае новыя і мадэрнізуе існуючыя кампаненты «Дії^[uk]» на Адзіным дзяржаўным вэб-партале электронных паслуг.

Быў здзейснены дэфейс сайта і выкладзена паведамленне на ўкраінскай, ламанай польскай і рускай мовах пра помсту ўкраінцам «за мінулае, сучаснасць і будучыню».

У паведамленні былі радкі: «Гэта за вашае мінулае, сучаснасць і будучыню. За Валынь, за АУН УПА, за Галічыну, за Палессе і за гістарычныя землі». Эксперты адзначаюць наяўнасць на здымку звестак пра месцазнаходжанне, якія паказваюць на Варшаву.

У якасці крыніцы гэтай кібератакі Польшча ўказала на Расію.

«Кібератака, пра якую паведамляе ўкраінскі бок, з’яўляецца часткай тыповай дзейнасці спецслужбаў Расійскай Федэрацыі».

— паведаміў прэс-сакратар міністра, які каардынуе працу польскіх спецслужбаў, Станіслаў Жарын^[1].

Кібератаку ўдалося ажыццявіць праз выяўленую ў маі 2021 года ўразлівасць сістэмы кіравання кантэнтам сайтаў October CMS^[4].

Наступствы

Каля 70 дзяржаўных сайтаў пацярпелі ад хакерскай атакі^[5]. Не працавалі сайты Міністэрства абароны, МЗС, ДСНС, «Дія» і іншых^[6].

Станам на 16 студзеня большасць сайтаў аднавілі працу. Але сэрвіс «Дія» і вэб-сайт Kitsoft Actions не працуюць.

У чэрвені 2021 года Міністэрства лічбавай трансфармацыі запусціла Bug Bounty з фондам у мільён грыўняў за ўзлом «Дія»^[7]. Ці будуць выплачаныя грошы за ўзлом, у прыватнасці, у гэтым выпадку, невядома.

Расследаванне

Служба бяспекі Украіны пачала расследаванне наконт датычнасці расійскіх службаў да кібератакі на органы дзяржаўнай улады Украіны^[8]. Расследаванне таксама вядзе Кіберпаліцыя Украіны^[9].

15 лютага а 20:21 пачалася новая DDoS-атака на дзяржаўныя і банкаўскія сайты Украіны, што трывала больш за 5 гадзін^[2][10].

Мэтамі гэтым разам сталі каля 15 банкаў^[11], у прыватнасці «Прыватбанк» і «Ашчадбанк», а таксама сайты дамена gov.ua. Сайты «ПрыватБанка» і «Ашчадбанка», а таксама Мінабароны, Узброеных сіл і Міністэрства па пытаннях рэінтэгрыцыі часова акупаваных тэрыторый на некаторы час прыпынілі працу^[2]. ЗША дапамаглі хутка адбіць атаку і паабяцалі дапамагчы ў расследаванні^[12]. У цэлым сайты банкаў пацярпелі ў меншай меры^[2]. Сайты «ПрыватБанка» і «Ашчадбанка» запрацавалі ўжо 16 лютага^[11].

На брыфінгу 16 лютага 2022 года міністр лічбавай трансфармацыі Украіны Міхаіл Фёдараў заявіў, што адбылася найбольшая атака ў гісторыі Украіны вартасцю ў мільёны долараў^[13]. У той жа час некаторыя тэхнічныя спецыялісты заявілі, што атака была не такой моцнай і што яе зможа вытрымаць любы сервер сярэдняй магутнасці, а яе вартасць не перавышае некалькіх тисяч долараў^[14].

На думку ўкраінскіх службовых асоб, за атакамі стаіць Расія. Прэс-сакретар прэзідэнта РФ Дзмітрый Пяскоў заявіў, што яна да гэтага не датычная^[11]. 18 лютага ўрады Вялікабрытаніі і ЗША афіцыйна заявілі, што ўскладаюць адказнасць за атаку на Расію^[15][16]. 19 лютага Савет нацыянальнай бяспекі ЗША паведаміў, што, паводле яго даных, атака йшла з інфраструктуры, што належыць Галоўнаму разведвальнаму ўпраўленню Генеральнага Штаба Расійскай Федэрацыі^[17]. Да такой жа высновы прыйшоў Цэнтр нацыянальнай кібербяспекі Вялікабрытаніі^[16].

Хада падзей

21 лютага 2022 года Дзяржаўная служба спецыяльнай сувязі і абароны інфармацыі Украіны паведаміла са спасылкай на CERT-UA пра магчымыя хакерскія атакі на дамены .ua, што плануюцца 22 лютага^[18][19].

23 лютага 2022 года, за дзень да шырокага ўварвання Расіі на тэрыторыю Украіны, была зафіксавана кібератака на дзяржаўныя рэсурсы і банкі^[20]. Новая хваля кібератакі пачалася прыблізна а 16:00, былі пашкоджаныя сайты Вярхоўнай Рады, Кабінета Міністраў Украіны і Міністэрства замежных спраў. Міністэрства адукацыі і навукі з мэтай запабягання кібератацы закрыла доступ до свайго вэб-сайта. Паводле слоў міністра лічбавай трансфармацыі Фёдарава, партал і сайт дадатку «Дія» паспяхова змагаюцца з атакай^[21]. Пазней стала вядома, што вэб-сайты СБУ, Міністэрства стратэгічных галін, інфраструктуры і аграпалітыкі таксама зазналі шкоды. На сайце апошняга быў размешчаны той самы дэфейс, што і пры першым нападзе 14 студзеня^[22][23]. Джэн Псакі, прэс-сакратарка Белага дома паведаміла ў сваім брыфінгу, што на той момант дакладна не вядома, хто стаіць за атакамі, аднак папярэднія напады адпавядаюць дзеянням РФ^[24]. Прадстаўнікі РФ лічаць любыя заявы наконт правіны Расіі ў атаках «русафобскімі»^[25].

Паводле даных даследавання кампаніі ESET, пасля DDoS атакі 23 лютага на ўзламаных сайтах запрацавалі шкодныя праграмныя сродкі HermeticWiper, названы за лічбавы сертыфікат подпісу коду ад кіпрскай кампаніі Hermetica Digital Ltd. Мэтай гэтых шкодных праграм з’яўляецца знішчэнне інфармацыі з баз даных. Вірус быў выяўлены каля 17:00 23 лютага, аднак метка часу ўказвае, што ён быў скампіляваны 28 снежня 2021 года^[26].

Уначы і раніцай 24 лютага 2022 года, падчас нападу Расіі на Украіну, сайт Кіеўскай АДА быў атакаваны хакерамі, некаторыя рэсурсы былі адключаны для зберажэння даных^[27]. На сайтах i.ua і meta.ua Дзяржаўная служба спецыяльнай сувязі і абароны інфармацыі абнаружыла масавыя e-mail лісты з фішынгавымі спасылкамі на прыватныя адрасы ўкраінскіх вайскоўцаў і звязаных асоб^[28]. Зламыснікі ўладкоўваюць кампраметацыю і загружаюць пошту па пратаколах IMAP для атрымання адрасоў для далейшых рассылак. Паводле даных ведамства, за гэтым стаяць беларускія хакеры з групы UNC1151, якая працуе ў Мінску і мае ў складзе афіцэраў Міністэрства абароны Рэспублікі Беларусь^[28].

Адказ

22 лютага для супрацьдзеяння магчымай атацы была задзейнічана Кіберкаманда хуткага рэагавання (англ.: cyber rapid-response team), у якую ўваходзяць 12 экспертаў з шасці краін ЕС (Літва, Эстонія, Харватыя, Польшча, Нідэрланды і Румынія) для дапамогі ў абароне дзяржаўных сайтаў ад нападу. Паводле слоў прадстаўніка Кіберкаманды, у яе ўваходзяць спецыялісты розных кібергалін, такіх як рэагаванне на інцыдэнты, крыміналістычная экспертыза, ацэнка ўразлівасці, каб мець магчымасць рэагаваць на разнастайныя сцэнарыі^[25]. Невядома, ці бралі эксперты ўдзел у адбіцці атак.

24 лютага 2022 года міжнародная хакерская група Anonymous у сваім акаўнце ў Twitter абвясціла вайну расійскай прапагандзе, хакеры ўзламалі сайт навін Russia Today^[29]. Пазней былі ўзломаныя сайты Мінабароны РФ, а даныя (тэлефоны, пошты і імёны супрацоўнікаў) былі апублікаваны ў вольным доступе^[30][31].

25 лютага ўкраінскія хакеры атрымалі доступ да расійскай бухгалтэрыі сістэмы дакументаабароту ДСК (для службовага карыстання) ВЧ 6762, Стаўрапольскі край г. Жалезнаводск, адкуль выйшлі расійскія салдаты, як абяцалі хактывісты, гэтыя грошы павінны пайсці на ўзбраенне УСУ^[32].

26 лютага міністр лічбавай трансфармацыі Украіны Міхаіл Фёдараў заявіў пра стварэнне IT-арміі, куды ўвайдуць кіберспецыялісты, капірайтары, дызайнеры, маркетолагі і таргетолагі^[33]. У выніку гэтага былі атакаваны шматлікія расійскія дзяржаўныя сайты і банкі. У адкрытым доступе апынуліся дзясяткі нумароў расійскіх зорак і чыноўнікаў, а на некаторых тэлеканалах транслявалі ўкраінскія песні, у прыватнасці «Малітву за Украіну»^[34][35].

• Расійска-ўкраінская вайна

• Афіцыйны сайт Дзяржаўнай службы спецыяльнай сувязі і абароны інфармацыі Украіны
• Афіцыйны сайт Міністэрства лічбавай трансфармацыі Украіны
• Афіцыйны сайт Службы бяспекі Украіны
• Афіцыйны сайт Кіберпаліцыі Украіны
• Дзяржаўная спэцсувязь назвала «складовай кібэратакі» на дзяржаўныя сайты // Радыё Свобода, 19 студзеня 2022 г.