Автор: Андрей Михалюк, CEO CoreWin
В ночь с 13 на 14 января, когда обычно украинцы ходят щедровать, на государственные сайты и порталы была совершена скоординированная кибератака, которую уже окрестили #attack13. Под прицел попало большинство правительственных сайтов, портал “Дія“ и сайты некоторых неправительственных организаций. На сайтах появилась картинка на трех языках, которая якобы сообщала о гневе поляков за исторические события прошлого. Уже к утру этот текст пропал с сайтов, и все сервисы заработали в обычном режиме.
Судя по интервью заместителя секретаря СНБО С. В. Демедюка, атаку совершила хакерская группировка UNC1151, которую связывают с КГБ Республики Беларусь.
Вместе с тем CERT-UA сообщило, что атака происходила с использованием уязвимости October CMS, и предоставило рекомендации по ее устранению. По сути, это позволяет квалифицировать эту атаку как supply chain attack, то есть такую атаку, которая использовала уязвимость поставщика компонента или системы.
Заявление October CMS относительно этого события достаточно простое. Держите ваши системы обновленными, и подобного не произойдет.
В публичном пространстве (например, Экономическая Правда) также обращают внимание на компанию KitSoft, являющуюся подрядчиком по веб-разработке части пострадавших государственных учреждений.
KitSoft сообщают, что ситуация не столь прозаична, и атаку нельзя вписать только в уязвимость CMS, обращая внимание на отчет Microsoft, где описана возможная кибероперация, нацеленная на украинские организации.
Согласно отчету Microsoft, атаки объединяются общим сценарием:
Этап 1: перезаписать основную загрузочную запись (Master Boot Record или MBR), чтобы показать уведомление о заражении. Часто исполняемый файл называется stage1.exe
Этап 2: вредоносное программное обеспечение, нарушающее целостность файлов, препятствуя их чтению. Название файла stage2.exe
Далее в статье мы будем называть этот софт шифровальщиком, понимая, что файлы по сути не шифруются, а скорее “ломаются” и не поддаются восстановлению.
Сейчас сайт KitSoft не рабочий, поскольку компания ссылается на то, что их сайт тоже был атакован, а времени на лечение собственного сайта нет, потому что команда помогает государственным учреждениям.
Интересно, что компания отдельно обратила внимание на то, что их сайт не использует October CMS.
Расследование инцидента ведут: СБУ, Госспецсвязь и Киберполиция. По утверждению СБУ, утечки персональных данных, по предварительной информации, не произошло.
С учетом того, что следствие уже ведут государственные службы и СБУ, можно предположить, что материалам дела присвоен определенный уровень секретности, а значит, мы, общая аудитория, можем подводить итоги событий и проанализировать все, что произошло.
Поэтому, выдыхаем… И по пунктах.
UNC1151
Это группа белорусских хакеров, наиболее известная серией атак под названием Ghostwriter.
Ghostwriter — это киберкампания влияния, которая в первую очередь нацелена на аудиторию в Литве, Латвии и Польше, и пропагандирует критическую оценку присутствия НАТО в Восточной Европе.
Кроме очевидных общих политических мотивов Беларуси и РФ Сергей Демедюк также отметил: «Вредоносное программное обеспечение, используемое для шифрования некоторых государственных серверов, по своим характеристикам очень похоже на программное обеспечение группы ATP-29».
Напомним, ATP-29 (CozyBear) – это известная российская группа хакеров. К примеру, на их счету SolariGate, о котором мы писали в декабре 2020 года.
October CMS
October CMS – это по сути система для разработки и управления сайтом. Более известными “коллегами” October являются WordPress и Joomla. По специфике и роду деятельности в этом разделе программного обеспечения обычно выживают игроки, имеющие бесплатную версию своего ПО.
Похожая ситуация и с October CMS. Хотя эта платформа и не имеет бесплатной лицензии (возможно, поэтому и не столь распространена, как другие в нашем регионе), но код открыт. То есть не зашифрован, не скрыт. Это говорит о том, что:
- Лицензионное соглашение достаточно легко нарушить.
- Код легче проанализировать на уязвимости.
- Сложно поймать тех, кто скопировал часть кода для собственного проекта.
Уязвимость, о которой мы говорим сейчас, можно классифицировать как Account Takeover. Злоумышленник может запросить сброс пароля учетной записи, а затем получить доступ к учетной записи с помощью специально созданного запроса. Чтобы воспользоваться этой уязвимостью, злоумышленник должен знать имя пользователя администратора и иметь доступ к форме сброса пароля.
Эта уязвимость уже давно закрыта, то есть достаточно обновить платформу до последней версии и “дыра будет заделана”.
Если атака действительно произошла массово из-за такой древней по меркам кибербезопасности уязвимости, то как это могло случиться? Напрашивается два возможных варианта:
- системы работали без лицензии и/или не обновлялись
- системы по сути работали не на этой платформе, но части кода платформы были использованы подрядчиком и не обновлены вовремя
Ни относительно первого, ни относительно второго доказательств нет. Однако мы склонны верить, что наши коллеги по IT-цеху ответственны и маловероятно, что это настоящие причины.
KitSoft
Сначала, пользуясь моментом, хотим обратить внимание, что имея в арсенале Acunetix или NetSparker, можно было проверить проект на веб-уязвимости и избежать эксплойта October CMS, если он был.
У нас есть однозначное заявление на фейсбук-странице компании, что их инфраструктура повреждена и частично отключена намеренно. То есть, можем констатировать, что инфраструктура либо частично упала, либо частично скомпрометирована. На уязвимость CMS это откровенно непохоже.
Векторы атаки
Государственными службами и их сотрудниками озвучено по крайней мере два отдельных вектора атаки. В пользу реальности каждого из них говорят некоторые факты:
- Уязвимость компонента, что привело к дальнейшим действиям. В пользу этого аргумента говорит то, что сайты столкнулись только с deface (заменой главной страницы сайта), а данные реестров и баз данных не были повреждены. То есть серверы не лежат. Данные не утрачены, не зашифрованы. А если бы серверы были заражены шифровальщиком — картина была бы другой, гораздо серьезнее. С другой стороны, если это конкретная уязвимость October CMS — совершенно непонятно, почему хакеры не пошли дальше, ведь у них потенциально был доступ к админке сайта. Может, они пошли, но на поверхности оставили только deface для отвода внимания?
- Заражение шифровщиком. Как описывает Microsoft, происходит всплеск атак шифровальщиком, имеющий уникальные признаки, что говорит о новой скоординированной атаке.
С одной стороны:
· Сайт KitSoft лежит, а это действительно похоже на последствия шифровальщика
· С. В. Демедюк в своем интервью упомянул именно шифровальщики, которые используются для шифрования государственных серверов
Но:
· Почему госорганам предоставлены рекомендации по устранению уязвимости October CMS?
· Почему не потеряны данные, и как удалось сделать deface, шифровальщик не позволяет совершить такие манипуляции
Время собирать камни. Выводы
Скорее всего, был ряд уязвимостей, которые использовали для того, чтобы проникнуть внутрь серверов. Может быть, и через поставщиков. Но кажется, что дело точно не только в CMS. Также есть уведомление о новом шифровальщике, но вероятно, что использовался не только он, был пущен в действие полный арсенал инструментов, чтобы “раскрутить” скомпрометированные системы.
И самый главный вывод. Если не произойдет чего-нибудь необычного, то эта история будет похоронена под грифом “тайно”, и деталей мы не узнаем. Очень много открытых вопросов, ответы на которые мы, вероятно, так и не получим.
Соавтор: Максим Копистко, бренд-менеджер CoreWin
