Кібератаку вдалося реалізувати завдяки вразливості системи керування вмістом вебсайтів October CMS, яку виявили ще минулого року. Про це першою повідомила американська журналістка Кім Зеттер у Twitter.
Sources tell me * 15 sites in Ukraine - all using October content management system - have been defaced, inc Min of Foreign Affairs, Cabinet of Ministers, Min of Ed, Emergency Services, Treasury, Environmental Protection. Attackers apparently used this: https://t.co/7ojWbjZWDd pic.twitter.com/FaepCsRO5E
- Kim Zetter (@KimZetter) January 14, 2022
Згодом Служба безпеки України дала рекомендації, як усунути вразливість: необхідно оновити October CMS до останньої версії (щонайменше до 472-ї). Саме на цій системі побудовано вебсайти міністерств та інших органів влади.
October – це система керування вмістом сайта (CMS) із відкритим вихідним кодом. Її використовують такі компанії, як Toyota, KFC та Nestle. October особливо популярна серед користувачів у США і Росії, а також у Європі.
Фахівець із кібербезпеки Андрій Баранович підтвердив журналістам, що всі сайти, які потрапили під кібератаку, працювали на неоновленій версії October CMS. Водночас уряд знав про вразливість ще з травня минулого року.
"Навіть більше, якби сам софт був налаштований правильно, тоді можна було навіть не оновлювати ПЗ, тому що вразливість не подіяла б. Але ПЗ було не налаштоване і не оновлене", – розповів він.
Засновник і директор консалтингової агенції з кібербезпеки HackControl Микита Книш розповів, що вони попереджали кіберполіцію про великі проблеми з кібербезпекою державних ресурсів і пропонували безплатно протестувати їх.
"Ми попереджали, що у разі початку війни таким же чином будуть іти повідомлення про мінування установ, організацій, об'єктів критичної інфраструктури. Усе відбувається чітко за сценарієм... Спочатку йде атака, ціль якої – вичерпати всі ресурси силових відомств у Києві, тобто фейкові мінування. Наступним кроком є поширення паніки, тобто проведення спеціальних інформаційних операцій. Все це – частина гібридної війни", – упевнений він.
У ніч на 14 січня хакери зламали низку урядових сайтів. Вони розмістили погрозливі повідомлення українською, російською і польською мовами й перекреслені зображення герба (спотворене), прапора і карти України, а також профілю свині. У текстах були помилки, а повідомлення польською написано так, ніби для його створення використали поганий перекладач, звернули увагу ЗМІ.
Унаслідок атаки постраждало приблизно 70 сайтів українських держструктур як регіонального, так і загальнонаціонального рівня. Не працювали сайти низки міністерств, портал судової влади України, Єдиний реєстр судових рішень та сайт Верховного Суду. Сайти Міністерства закордонних справ та Міненерго не можна відкрити й досі.
Пресслужба Міністерства цифрової трансформації повідомляла, що портал "Дія" вимкнули, а застосунок "Дія" працює у штатному режимі.
У СБУ заявили, що контент сайтів не було змінено й витоку персональних даних не сталося. Роботу деяких сайтів зупинили з метою запобігання поширенню атаки. СБУ та Держспецзв'язку займаються розслідуванням інциденту.
У МЗС України зазначили, що висновки робити рано, але натякнули на російський слід зламу.
Верховний представник Євросоюзу із закордонних справ та політики безпеки Жозеп Боррель сказав, що ЄС "мобілізує всі ресурси", щоб допомогти Україні, а генеральний секретар НАТО Єнс Столтенберг анонсував підписання між Україною та Альянсом угоди про посилення кіберспівпраці. Кібератаку засудили у МЗС Німеччини, Молдови, Швеції.
У міністерстві закордонних справ Польщі засудили атаку, а публікацію повідомлення польською мовою розцінили як чергову спробу дестабілізувати польсько-українські відносини.
