Кібератака на урядові організації України: спробуємо розібратись

Автор: Андрій Михалюк, CEO CoreWin

В ніч з 13 на 14 січня, коли зазвичай українці ходять щедрувати, на державні сайти та портали було скоєно скоординовану кібератаку, яку вже охрестили #attack13. Під приціл потрапила більшість урядових сайтів, портал “Дія“ та сайти деяких неурядових організацій. На сайтах з’явилась картинка трьома мовами, що начебто повідомляла про гнів поляків за минулі історичні події. Вже на ранок цей текст пропав з сайтів, і всі сервіси запрацювали у звичному режимі.

Судячи з інтерв’ю заступника секретаря РНБО Сергія Демедюка, атаку здійснило хакерське угрупування UNC1151, яке пов’язують з КДБ Республіки Білорусь.

Разом з тим CERT-UA повідомило, що атака відбувалась з використанням вразливості October CMS, та надало рекомендації з її виправлення. По суті це дозволяє кваліфікувати цю атаку як supply chain attack, тобто таку атаку, що використала вразливість постачальника компонента чи системи.

Заява October CMS відносно цієї події доволі проста. Тримайте ваші системи оновленими, та подібного не станеться.

В публічному просторі (наприклад, Економічна Правда) також звертають увагу на компанію KitSoft, що є підрядником по веброзробці частини постраждалих державних установ.

KitSoft повідомляють, що ситуація не є такою прозаїчною, та атаку не можна вписати лише у вразливість CMS, звертаючи увагу на звіт Microsoft де описана можлива кібероперація, націлена на українські організації.

За звітом Microsoft атаки об’єднуються спільним сценарієм:

Етап 1: перезаписати основний завантажувальний запис (Master Boot Record або MBR), щоб показати повідомлення про зараження. Часто виконуваний файл має назву stage1.exe

Етап 2: шкідливе програмне забезпечення, яке порушує цілісність файлів, роблячи їх неможливими до читання. Назва файлу stage2.exe

Далі в статті ми називатимемо цей софт шифрувальником, розуміючи, що файли по суті не шифруються, а радше “ламаються” і не піддаються відновленню.

Наразі сайт KitSoft є не робочим, оскільки компанія посилається на те, що їх сайт теж був атакованим, а часу на лікування власного сайту немає, бо команда допомагає державним установам.

Цікаво, що компанія окремо звернула увагу, що їх сайт не використовує October CMS.

Наразі розслідування інциденту ведуть: СБУ, Держспецзв’язок та Кіберполіція. За твердженням СБУ, витоку персональних даних, за попередньою інформацією, не відбулося.

З урахуванням того, що слідство вже ведуть державні служби та СБУ, можна припустити, що матеріалам справи присвоєний певний рівень секретності, а отже, ми, загальна аудиторія, можемо підбивати підсумки подій та проаналізувати все що відбулось.

Тому, видихаємо… І по пунктах.

UNC1151

Це група білоруських хакерів, яка найбільш відома серією атак за назвою Ghostwriter.

Ghostwriter — це кіберкампанія впливу, яка в першу чергу націлена на аудиторію в Литві, Латвії та Польщі, та пропагує розповіді з критичною оцінкою присутності Організації Північноатлантичного договору (НАТО) у Східній Європі.

Окрім очевидних спільних політичних мотивів Білорусі та РФ Сергій Демедюк також зазначив: «Шкідливе програмне забезпечення, яке використовується для шифрування деяких державних серверів, за своїми характеристиками дуже схоже на програмне забезпечення групи ATP-29».

Нагадаємо, ATP-29 (відома також як CozyBear) — це відома російська група хакерів. Приміром, на їх рахунку SolariGate, про який ми писали в грудні 2020.

October CMS

October CMS — це по суті система для розробки й управління сайтом. Більш відомими “колегами” October є WordPress та Joomla. За специфікою і родом діяльності в цьому розділі програмного забезпечення як правило виживають гравці, які мають безплатну версію свого ПЗ.

Схожа ситуація і з October CMS. Хоча ця платформа і не має безплатної ліцензії (можливо, тому і є не такою поширеною, як інші в нашому регіоні), але код є відкритим. Тобто не зашифрованим, не прихованим. Це говорить про те, що:

  1. Ліцензійну угоду достатньо легко порушити.
  2. Код легше проаналізувати на вразливості.
  3. Важко зловити тих, хто скопіював частину коду для власного проєкту.

Вразливість, про яку ми говоримо зараз, можна класифікувати як Account Takeover. Зловмисник може запросити скидання пароля облікового запису, а потім отримати доступ до облікового запису за допомогою спеціально створеного запиту. Щоб скористатися цією вразливістю, зловмисник повинен знати ім’я користувача адміністратора та мати доступ до форми для скидання пароля.

Ця вразливість вже давно закрита, тобто достатньо оновити платформу до останньої версії та “дірка буде залатана”.

Якщо атака дійсно відбулася масово через таку древню за мірками кібербезпеки вразливість, то як це могло трапитись? Напрошується два можливих варіанти:

  • системи працювали без ліцензії та/або не оновлювались
  • системи по суті працювали не на цій платформі, але частини коду платформи були використані підрядником та вчасно не оновлені

Ні щодо першого, ні щодо другого доказів немає. Однак, ми схильні вірити, що наші колеги по IT-цеху ставляться відповідально і малоймовірно, що це справжні причини.

KitSoft

Спершу, користуючись моментом, хочемо звернути увагу, що маючи в арсеналі Acunetix чи NetSparker, можна було перевірити проєкт на вебвразливості та уникнути експлойту October CMS, якщо він був.

Ми маємо однозначну заяву на фейсбук-сторінці компанії, що їх інфраструктура пошкоджена і частково вимкнена навмисно. Тобто можемо констатувати, що інфраструктура або частково впала, або частково скомпрометована. На вразливість CMS це відверто не схоже.

  • Рекомендація читачам: робіть бекапи на постійній основі та зберігайте ці бекапи якийсь час. Хоча б місячної давності бекап має бути.

Вектори атаки

Державними службами та їх співробітниками озвучено принаймні два окремих вектори атаки. На користь реальності кожного з них говорять деякі факти:

  • Вразливість компоненту, що потягнуло подальші дії.
    На користь цього аргументу говорить те, що сайти зазнали лише deface (заміни головної сторінки сайту), а дані реєстрів та баз даних не були ушкоджені. Тобто, сервери не лежать. Дані не втрачені, не зашифровані. А якби сервери були заражені шифрувальником — картина була б іншою, значно серйознішою. З іншої сторони, якщо це конкретна вразливість October CMS — абсолютно не зрозуміло, чому хакери не пішли далі, адже в них потенційно був доступ до адмінки сайту. Чи вони пішли, але на поверхні залишили тільки deface для відводу уваги?
  • Зараження шифрувальником.
    Як описує Microsoft, відбувається сплеск атак шифрувальником, який має унікальні ознаки, що говорить про нову скоординовану атаку.

З одної сторони:
· Сайт KitSoft лежить, а це дійсно схоже на наслідки шифрувальника
· Сергій Демедюк у своєму інтерв’ю згадав саме шифрувальники, які використовуються для шифрування державних серверів
Але:
· Чому держорганами надані рекомендації по усуненню вразливості October CMS?
· Чому не втрачені дані, і як вдалося зробити deface, шифрувальник не дозволяє зробити такі маніпуляції

Час збирати каміння. Висновки

Найімовірніше — був ряд вразливостей, які використали для того, щоб проникнути всередину серверів. Можливо, і через постачальників. Але видається, що справа точно не тільки в CMS. Ми також маємо повідомлення про нового шифрувальника, але ймовірно, що використовувався не тільки він, був пущений в дію повний арсенал інструментів, щоб “розкрутити” скомпрометовані системи.

І найголовніший висновок. Якщо не станеться чогось надзвичайного, то ця історія буде похоронена під грифом “таємно“, і деталей ми не взнаємо. Дуже багато відкритих питань, відповіді на які ми, мабуть, так і не отримаємо.

Співавтор: Максим Копистко, бренд-менеджер CoreWin

Підписатися на новини