Вночі з 13 на 14 січня сталася хакерська атака на сайти державних органів. Не працювали сайти Міноборони, МЗС, ДСНС, «Дії» та інші. Ймовірно, веб-ресурси були складовими однієї інфраструктури. Таким чином, хакери здійснили атаку на всю інфраструктуру
Хакери не змінювали контент сайтів та не викачували персональні дані, які ті містили. Єдине, що вони зробили – розмістили повідомлення провокаційного характеру. Такий тип атаки називається Deface. Хакери змінюють головну або іншу важливу для сайту сторінку. При цьому домен сторінки не змінюється.
Користувачі сайту, перейшовши за знайомим посиланням, потрапляють на зовсім іншу на вигляд сторінку. Зазвичай доступ до інших сторінок сайту блокується або весь контент сайту видаляється. У нашому випадку цього не сталося.
Зазвичай такі атаки проводять для закріплення свого статусу в хакерських спільнотах, селф-піару тощо. Проте у цій атаці відсутні очевидні посилання на певних хакерів або APT.
Попередній аналіз залишеного зловмисниками зображення на зламаному сайті дозволяє зробити припущення про навмисну провокацію з метою погіршення стосунків між Україною та Польщею. Окрім тексту, що містить очевидні конотації щодо складних історичних моментів взаємодії України та Польщі, додана ілюстрація містить EXIF – метадані з міткою, що веде до школи у Варшаві.
Усі домени зламаних веб-сайтів наразі відключені, ведуться роботи з відновлення та збору матеріалів для подальшого розслідування.
Сайти були зламані за допомогою вразливості у продукті OctoberCMS
У вразливих версіях пакета October/system зловмисник може запросити скидання пароля облікового запису, а потім отримати доступ до облікового запису за допомогою спеціально створеного запиту. Проблему виправлено у Build 472 та v1.1.5. Тобто атака сталася через те, що на державних сайтах був несвоєчасно оновлений цей продукт.
Атака відбулася вночі. Це типово для кіберзловмисників, адже вночі шанси успішності зламу значно зростають. Персонал спить, тому ніхто не заважає хакерам проводити атаку.
Вже зараз можна зробити припущення, що в інфраструктурі зламаних сайтів був відсутній або погано налаштований процес тестування на проникнення та сканування на вразливості.
Ймовірно, погано функціонувала і SIEM (Security Information and Event Management). Ця технологія визначає проблемні місця у системі безпеки, у режимі реального часу повідомляє спеціалістам ІБ щодо будь-яких подій та контролює доступ працівників до певних баз даних та серверів, відповідно до рівня допуску.
Для запобігання атакам представникам інформаційної безпеки державних органів варто:
1) забезпечити процес проведення тесту на проникнення та сканування на вразливості;
2) коректно налаштувати сповіщення щодо підозрілих змін в інфраструктурі та систему SIEM;
3) побудувати SOC (Security Operations Center) та залучити SoC-аналітика, який буде стежити за роботою системи безпеки;
4) своєчасно оновлювати програмне забезпечення та софт;
5) впровадити процес Patch management та відстежувати тренди хакерських атак, характерних для вашої діяльності. Вдосконалюйте систему інформаційного захисту відповідно до них. Більше про це ми писали раніше;
6) впровадити стандарт інформаційної безпеки ISO27001: проведення систематичних внутрішніх аудитів.
Джерело: Forbes
