Хакеры атаковали сайты "ProZorro Інфобокс" и райсуд Киева. В Госспецсвязи заявили, что почти все ранее атакованные сайты возобновили работу

Происшествия

Утром 17 января на сайте информационного ресурса сервиса госзакупок ProZorro – "ProZorro Інфобокс" – появилось такое сообщение, как на правительственных сайтах во время кибератаки в ночь на 14 января. Об этом пресс-центр Госспецсвязи проинформировал в Facebook.

После взлома страницу отключили, там начали работы специалисты Госспецсвязи. На данный момент сайт "ProZorro Інфобокс" открывается, сообщения от хакеров там нет.

"Форум "ProZorro Інфобокс" – это отдельная система, которая не связана с системой закупок ProZorro. По имеющейся информации, ни информационный ресурс "ProZorro Інфобокс", ни сам портал ProzZorro не пострадали. Система публичных закупок работает в штатном режиме", – заявили в ведомстве.

Там призвали граждан сообщать о кибератаках на почту правительственной команды по реагированию на компьютерные чрезвычайные события CERT-UA ([email protected]), по телефонам (044) 281-88-05, (044) 281-88-25, (044) 281-88-01 или используя форму для связи с CERT-UA на сайте ведомства.

О кибератаке сообщал сегодня также Шевченковский районный суд.

"17 января доступ к электронной почте суда, официальному веб-сайту суда на портале "Судебная власть", подсистеме "Электронный суд", функционалу автоматизированной системы документооборота суда (в части направления решений в Единый государственный реестр судебных решений, обмена входной и исходящей корреспонденции) приостановлены по независящим от суда причинам. В настоящее время продолжаются восстановительные работы. Специалистами Государственной судебной администрации Украины в сотрудничестве с профильными органами власти по противодействию киберпреступности принимаются необходимые меры по ограничению ущерба для критических систем и хранения данных", – говорится в релизе, опубликованном пресс-службой суда в Facebook.

Позже в Госспецсвязи проинформировали, что сегодня к 14.00 возобновили работу почти все сайты, пострадавшие от кибератаки в ночь на 14 января.

Расследование инцидента еще не завершено.

"Версия по использованию программы-вайпера, уничтожающей данные, проверяется. Для этого Госспецсвязи взаимодействует с корпорацией Microsoft в рамках заключенного летом соглашения о сотрудничестве Government Security Program. В то же время уже сейчас можно утверждать о значительно более высокой сложности атаки, чем модификация стартовой страницы веб-сайтов. Ряд внешних информационных ресурсов был уничтожен злоумышленниками в ручном режиме. Краткие сроки реализации атаки свидетельствуют о координации действий хакеров и их численности. Сейчас отрабатывается версия комбинации трех векторов атаки: supply chain attack и эксплуатация уязвимостей October CMS и Log4j", – заявили в ведомстве.

Там уточнили, что с 14 января фиксируют DDoS-атаки на ряд сайтов, которые были подвержены взлому.

Чтобы получить достоверные данные об источнике атаки, рабочая группа сотрудничает с международными экспертами.

В киберполиции уточнили: восстановлена работа 95% пострадавших сайтов, а расследованием атаки с международными экспертами занимаются сотрудники киберполиции, Госспецсвязи и Службы безопасности Украины.

Контекст

В ночь на 14 января хакеры взломали ряд украинских правительственных сайтов. Они разместили угрожающие сообщения на украинском, русском и польском языках и перечеркнутые изображения герба, флага и карты Украины, а также профиля свиньи. В текстах были ошибки, изображение герба искажено, а сообщение на польском написано так, словно для его создания использовали плохой переводчик, обратили внимание СМИ.
В Госспецсвязи говорят, что эта атака – самая мощная за последние четыре года. В ее результате пострадали около 70 сайтов украинских госструктур как регионального, так и общенационального уровня. Не работали сайты ряда министерств, портал судебной власти Украины, Единый реестр судебных решений и сайт Верховного Суда. К вечеру 14 января около 90% сайтов возобновили работу, сообщили в Офисе президента.
10 сайтов подверглись вторжению, но утечки персональных данных не было, портал госуслуг "Дія" был отключен по требованию Службы безопасности и Госспецсвязи, мобильное приложение работало в обычном режиме, рассказал вице-премьер-министр – министр цифровой трансформации Украины Михаил Федоров. По его информации, целью хакеров было получить доступ к админправам компании, которая администрирует атакуемые сайты.
В МИД Украины отметили, что выводы делать рано, но намекнули на российский след взлома. Связь атаки с Россией допускают также в Центре стратегических коммуникаций при Министерстве культуры и информационной политики. В причастности РФ к инциденту не сомневается секретарь Совета национальной безопасности и обороны Украины Алексей Данилов. Его заместитель Сергей Демедюк считает, что кибератака может быть связана со спецслужбами Беларуси.
СБУ расследует причастность спецслужб РФ к произошедшему.
О кибератаке сообщили президенту США Джо Байдену. Соединенные Штаты обеспокоены случившимся, заявили в Белом доме.
Верховный представитель Евросоюза по иностранным делам и политике безопасности Жозеп Боррель сказал, что ЕС "мобилизует все ресурсы", чтобы помочь Украине, а генеральный секретарь НАТО Йенс Столтенберг анонсировал подписание между Украиной и Альянсом соглашения об усилении киберсотрудничества. Кибератаку осудили в МИД Германии, Молдовы, Швеции.
В министерстве иностранных дел Польши осудили атаку, а публикацию сообщения на польском языке расценили как очередную попытку дестабилизировать польско-украинские отношения.