Кібератаки на українські державні сайти (2022)

Перебіг

Були атаковані близько 70 державних вебсайтів, які були побудовані на CMS October компанією Kitsoft. Kitsoft також наразі займається розробкою нових та модернізацією наявних компонентів «Дії» на Єдиному державному вебпорталі електронних послуг.

Був зроблений щонайменше дефейс сайтів і розміщене повідомлення українською, ламаною польською та російською мовами про помсту українцям «за минуле, сьогодення і майбутнє». У повідомлені були рядки: «Це вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН УПА, за Галичину, за Полісся та за історичні землі». Експерти зазначають наявність у картинці даних про локацію, які вказують на Варшаву.

Польща вказала на Росію як джерело цієї кібератаки.

Кібератака, про яку повідомила українська сторона, є частиною типової діяльності спецслужб Російської Федерації.

— заявив речник міністра, який координує роботу польських спецслужб, Станіслав Жарин^[1].

Кібератаку вдалося реалізувати завдяки вразливості системи керування вмістом вебсайтів October CMS, яку виявили ще в травні 2021 року^[4].

Наслідки

Від хакерської атаки постраждали приблизно 70 державних сайтів^[5]. Не працювали сайти Міноборони, МЗС, ДСНС, Дії та інші^[6].

Станом на 16 січня 2022 року більшість сайтів відновили роботу. Але сервіс «Дії» та сайт компанії Kitsoft ще не працювали.

У червні 2021 року Міністерство цифрової трансформації запускало Bug Bounty з фондом у мільйон гривень за злам «Дії»^[7]. Чи будуть виплачені гроші за злам, зокрема, «Дії», невідомо.

Розслідування

Служба безпеки України розпочала слідство щодо причетності російських служб до кібератаки на органи державної влади України^[8]. Розслідування веде також Кіберполіція України^[9].

15 лютого о 20:21 почалася нова DDoS-атака на державні та банківські сайти України, що тривала понад 5 годин^[2][10].

Цілями цього разу стали близько 15 банків^[11], зокрема «ПриватБанк» та «Ощадбанк», а також сайти домену gov.ua. Сайти «ПриватБанку» та «Ощадбанку», а також Міноборони, Збройних сил та Міністерства з питань реінтеграції тимчасово окупованих територій на деякий час припинили роботу^[2]. США допомогли швидко відбити атаку і пообіцяли посприяти в розслідуванні^[12]. В цілому сайти банків постраждали меншою мірою^[2]. Сайти «ПриватБанку» та «Ощадбанку» запрацювали вже 16 лютого^[11].

На брифінгу 16 лютого 2022 року міністр цифрової трансформації України Михайло Федоров заявив, що відбулася найбільша атака в історії України вартістю в мільйони доларів^[13]. Водночас деякі технічні спеціалісти заявили, що атака була не такою потужною і що її зможе витримати будь-який сервер середньої потужності, а її вартість не перевищує кількох тисяч доларів^[14].

На думку українських посадовців, за атаками стоїть Росія. Прессекретар президента РФ Дмитро Пєсков заявив, що вона до цього не причетна^[11]. 18 лютого уряди Великої Британії та США офіційно заявили, що покладають відповідальність за атаку на Росію^[15][16]. 19 лютого Рада національної безпеки США повідомила, що, за її даними, атака йшла з інфраструктури, що належить Головному розвідувальному управлінню Генерального Штабу Російської Федерації^[17][18]. Такого ж висновку дійшов Центр національної кібербезпеки Великої Британії^[16].

Перебіг

21 лютого 2022 року було повідомлено Державною службою спеціального зв'язку та захисту інформації України з посиланням на CERT-UA про можливі хакерські атаки на домени .ua, що плануються 22 лютого^[19][20].

23 лютого 2022 року, за день до широкого вторгнення Росії на територію України, було зафіксовано кібератаку на державні ресурси та банки^[21]. Нова хвиля кібератаки почалася приблизно о 16:00, було ушкоджено сайти Верховної Ради, Кабінету Міністрів України та Міністерства закордонних справ. Міністерство освіти і науки з метою запобігання кібератаці закрило доступ до свого вебсайту. За словами міністра цифрової трансформації Федорова, портал та сайт застосунку «Дія» успішно борються з атакою^[22]. Пізніше стало відомо, що вебсайти СБУ, Міністерства стратегічних галузей, інфраструктури та агрополітики також зазнали шкоди. На сайті останнього було розміщено той самий дефейс, що і при першому нападі 14 січня^[23][24]. Джен Псакі, речниця Білого дому повідомила у своєму брифінгу, що на той момент точно не відомо, хто стоїть за атаками, однак попередні напади відповідають діям РФ^[25]. Представники РФ вважають будь-які заяви щодо провини Росії в атаках «русофобськими»^[26].

За даними дослідження компанії ESET, після DDoS атаки 23 лютого на зламаних сайтах запрацювали шкідливі програмні засоби HermeticWiper, названий за цифровий сертифікат підпису коду від кіпрської компанії Hermetica Digital Ltd. Метою цих шкідливих програм є знищення інформації з баз даних. Вірус було виявлено близько 17:00 23 лютого, однак мітка часу вказує, що він був скомпільований 28 грудня 2021 року^[27].

Вночі та вранці 24 лютого 2022 року, під час нападу Росії на Україну, сайт Київської ОДА був атакований хакерами, деякі ресурси були відключенні для збереження даних^[28]. На сайтах i.ua та meta.ua були виявлені Державною службою спеціального зв'язку та захисту інформації масові e-mail листи з фішинговими посиланнями на приватні адреси українських військових та пов'язаних осіб^[29]. Зловмисники влаштовують компрометацію та завантажують пошту за протоколами IMAP для отримання адрес для подальших розсилок. За даними відомства за цим стоять білоруські хакери з групи UNC1151, що працює в Мінську та має в складі офіцерів Міністерства оборони Республіки Білорусь^[29].

Відповідь

22 лютого для протидії можливої атаки було задіяно Кіберкоманду швидкого реагування (англ. cyber rapid-response team), до якої входять 12 експертів з шести країн ЄС (Литва, Естонія, Хорватія, Польща, Нідерланди та Румунія) для допомоги у захисті державних сайтів від нападу. За словами представника Кіберкоманди, до неї входять спеціалісти різних кібергалузей таких як реагування на інциденти, криміналістична експертиза, оцінка вразливості, щоб мати змогу реагувати на різноманітні сценарії^[26]. Невідомо, чи експерти брали участь у відбитті атак.

24 лютого 2022 року міжнародна хакерська група Anonymous у своєму акаунті в Twitter оголосила війну російській пропаганді, хакери зламали сайт новин Russia Today^[30]. Пізніше були зламані сайти Міноборони РФ, а дані (телефони, пошти та імена співробітників) були опубліковані у вільний доступ^[31][32].

25 лютого українські хакери отримали доступ до російської бухгалтерії системи документообігу ДСК (для службового користування) ВЧ 6762, Ставропольський Край м. Залізноводськ, звідки рушили російські солдати, як обіцяли хактивісти, ці гроші мають піти на озброєння ЗСУ^[33].

26 лютого міністр цифрової трансформації України Михайло Федоров заявив про створення IT-армії, куди увійдуть кіберспеціалісти, копірайтери, дизайнери, маркетологи та таргетологи^[34]. Внаслідок цього, було атаковано численні російські державні сайти та банки. У відкритому доступі опинилися десятки номерів російських зірок та посадовців, а на деяких телеканалах транслювали українські пісні, зокрема «Молитву за Україну»^[35][36].

• Хакерська атака
• Кібервійна
• Російсько-українська кібервійна
• Російські кібервійни
• Російсько-українська війна (з 2014)
• Кібератака на енергетичні компанії України
• Хакерські атаки на Україну (2017)
• Кібератака на Укренерго
• Кібератаки під час російсько-грузинської війни

• Офіційний сайт Державної служби спеціального зв'язку та захисту інформації України [Архівовано 14 лютого 2022 у Wayback Machine.]
• Офіційний сайт Міністерства цифрової трансформації України [Архівовано 18 січня 2022 у Wayback Machine.]
• Офіційний сайт Служби безпеки України [Архівовано 19 січня 2022 у Wayback Machine.]
• Офіційний сайт Кіберполіції України [Архівовано 14 січня 2022 у Wayback Machine.]

• У Держспецзв'язку назвали «складову кібератаки» на урядові сайти [Архівовано 19 січня 2022 у Wayback Machine.]// Радіо Свобода, 19.01.2022