На сьогодні встановлено, що масована кібератака, яка почалася у ніч з 13 на 14 січня, була заздалегідь ретельно підготовлена і проведена на високому операційному рівні та здійснювалася скоординовано російськими хакерськими угрупованнями. Про це за на брифінгу за підсумками засідання Ради національної безпеки й оборони заявив голова Держспецзв’язку Юрій Щиголь.
«Наявні дані свідчать, що кібератака була заздалегідь ретельно підготовлена і проведена на високому операційному рівні та здійснювалася скоординовано групою хакерів», – підкреслив урядовець.
У ході кібератаки постраждали 22 сайти органів державної влади. Шести сайтам було завдано значної шкоди, 70 – відключено за вказівкою Держспецзв’язку та Служби безпеки України.
«Інфраструктуру було відновлено протягом трьох днів. А аналіз даних засвідчив, що чутлива інформація втрачена не була», – наголосив очільник Держспецзв’язку.
Вразливий October
Всі вебсайти постраждалих державних установ були побудовані на системі управління контентом October CMS. Практично всі серед них – розроблені однією приватною компанією (мов, скоріше за все, про EPAM Systems). Таким чином зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack, або атака на ланцюжок поставок, а також експлуатація двох вразливостей – October CMS та Log4j.
October (укр. Жовтень) — система управління вмістом сайту (CMS) з відкритим вихідним кодом. Написана мовою PHP на базі компонентів фреймворку для веб-застосунків Laravel. Система підтримує MySQL, SQLite і PostgreSQL як базу даних, а також може працювати без класичної бази даних, використовуючи модель пласких файлів (англ. flat-file) для зберігання даних. Розробники: Алексей Бобков, Семюель Джорджес. В основному, популярна в Росії, США та… як виявилося, в Україні.
Застосована зловмисниками атака дала змогу змінити головні сторінки вебсайтів, а доступ до всього іншого – заблокувати.
Причетність російських хакерів
Отримана спеціалістами Держспецзв’язку атрибуція вказує на причетність до атаки російських хакерських угруповань. При цьому атака мала як кібер-, так і інформаційну деструктивну складову. На сьогодні активно поширюється інформація щодо витоку персональних даних громадян, яка не підтверджена основними суб’єктами забезпечення кібербезпеки.
Додамо, що EPAM Systems — американська ІТ-компанія, заснована Аркадієм Добкіним і Леонідом Лознером. Є однією з провідних компаній-розробників ПО не лише в Україні, а й в Росії та Білорусі.
Нагадаємо, що після атаки 14 січня вже через тиждень хакери виклали в Мережу та продають усім охочим бази даних на користувачів “Дії”. Водночас у Мінцифри спростували інформацію, що ці витоки мають відношення до сервісу. А провідний експерт у коментарі для HiTech.Expert заявив, що у витоку немає однорідного масиву даних, щоб міг би свідчити про викрадення інформації з “Дії”.
