Цікаві факти про кібератаку на вебсайти України

Кілька цікавих спостережень про нещодавню кібератаку на вебсайти українських держустанов: які вразливості використано, хто їх знайшов, та що буде далі.

Як багатьом вже відомо, вчора «невідомі» хакери здійснили кібератаку на низку вебсайтів українських держустанов. Факти вказують на те, що було здійснено злам вебсайт та підмінено їхній вміст (так звана атака deface або підміни контенту). Доказів того, що нападникам вдалося проникнути глибше, поки що немає.

Але повідомлення, яке на це вказує, було розміщено зловмисниками на зламаних вебсайтах. Мовляв, українці, бійтеся, ваша держава не може вас захистити в кіберпросторі, і все таке інше. Звичайна риторика геополітично вмотивованого спонсорованого державою-агресором APT, який прикидається групою хактивістів.

Проте здогад про викрадення персональних даних закрадається автоматично, особливо в голови обивателів. Я поки що розцінюю цей сценарій як малоймовірний, але все може змінитися. Сумніваюся я в «глибокому проникненні» тому, що зазвичай публічні вебсайти рідко напряму звертаються до великих сховищ дійсно чутливих даних, оминаючи адекватні засоби безпеки. Проте, ні для кого не секрет, що ставлення до кібербезпеки взагалі, та в державних установах зокрема, далеке від «найкращих практик».

Але досить спекуляцій. Мені тут колеги по цеху прислали цікаві здогади про те, звідки походить атака. Ось ними я й хочу з вами поділитися.

Звісно, що Росія спадає на думку першою. Зважаючи на 100 тисячну армію, яку вона зібрала біля кордонів України, інформаційна кампанія виглядає цілком логічно та своєчасно. Мета теж очевидна: посіяти в населення паніку, вчергове поляризувати суспільство та дискредитувати владу. І зважаючи на жвавий інтерес до подій та рівень коментарів у ЗМІ — їм це вже вдалося.

Проте, де факти? З цим питанням нам допоможуть трохи фантазії, підписка на топових кіберекспертів у Твіттері, та вміння користуватися Гуглом.

Отже, перший факт, що привертає увагу, це підозра на використання атакованими вебсайтами системи управління вмістом OctoberCMS. Про це пише у Твіттері Кім Зеттер — авторка журналістського розслідування про першу в історії кібератаку на критичну інфраструктуру Stuxnet.

Кім дає посилання на вразливість, яку, на її думку, було використано для зламу. Це нічим не примітна дірка безпеки з середнім рівнем ризику (6.4/10), яка за вмілого використання може надати хакеру змогу перехопити контроль над чужим обліковим записом. Вразливість було знайдено ще восени минулого року.

Деталі вразливості можна почитати за посиланням, а деталі експлуатації вмілому аналітику з аппсеку будуть очевидні з діффів відповідного виправлення, посилання на які можна знайти там само.

Звісно, привертають увагу джентльмени, які знайшли та відзвітували про цю ваду безпеки. Список з характерних імен та прізвищ можна знайти в подяці розробників OctoberCMS за їхній звіт про цю вразливість.

  • Andrey Basarygin
  • Andrey Guzei
  • Mikhail Khramenkov
  • Alexander Sidukov
  • Maxim Teplykh

Кілька хвилин пошуку в інтернеті дають й без того очевидний результат: це все російські громадяни, які дуже активно займаються пошуком вразливостей у популярному програмному забезпеченні.

Під час пошуку інформації про цих панів спливають такі установи як Positive Technologies та Ростелеком, проте увагу привертає інший об’єкт їхніх спільних досліджень. Це ще одна система управління вмістом вебсайтів Typo3. І так, вони знайшли кілька не менш цікавих вразливостей у ній та її популярних розширеннях.

Я не аналітик з кіберзагроз, проте інтуїція підказує мені, що якщо у вас Typo3 — вам варто почати розслідування інциденту просто зараз.

А взагалі, шукаючи подяки та згадування цих панів у різних security advisories, можна побудувати дуже цікаву соцмережу російських дослідників безпеки. Продовжуючи збір даних про їхню діяльність можна знайти хто із ними співпрацював та які вразливості в інших системах репортив. Так, шановні аналітики державних кіберцентрів, це я тут до вас звертаюся. У вас же десь в Casefile вже є докладний граф їхніх стосунків та фактів співпраці?

Ось, наприклад, звіт на Хабрі про цілу низку CMS, по яких пройшлася внутрішня команда пентестерів Ростелекому. Список продуктів цікавий та дуже популярний, і якщо у вас є щось з цього і ви це не оновлюєте — дивиться пораду про Typo3 вище.

  • Contao
  • Concrete5
  • ExpressionEngine
  • Typo3
  • OctoberCMS
  • ModX

Список учасників дослідження теж цікавий, проте ви вже бачили його раніше:

А у статті «The Router Security Is Decadent and Depraved» у випуску журналу Paged Out! за 1 серпня 2019 р. [PDF] у співавторах випливає Igor Chervatyuk, і стає видно, що в них з Басаригіним на рахунку є успіхи не лише у вебдодатках, але в цілком собі хардкорному реверсі.

Тобто хлопці досліджують, звітують, та просувають світову кібербезпеку. Як захисну — даючи вендорам змогу виправити вразливості, так і наступальну — дозволяючи спецслужбам перетворити вразливості на зброю та використати в кібератаках проти систем, адміни яких не поспішають з оновленнями.

Публічної інформації про таку діяльність досить: дослідження вразливостей дуже добре впливають на кар’єру спеціалістів з кібербезпеки та бізнес їхніх роботодавців. Шукаючи дослідження, звіти, співавторів і так по колу — складається дуже цікава картина. Зокрема про те, звідки та по яких точках нам варто було б чекати наступного удару. Сподіваюся, саме таким аналізом зараз зайняті аналітики українських державних центрів захисту від кіберзагроз.

Замість роздавати спекулятивні коментарі телеканалам, які з самого ранку садять мені батарею в смартфоні, я витратив кілька хвилин для підготовки цього тексту. Сподіваюся ці рядки наштовхнули вас на конструктивні роздуми. Бережіться.

👍НравитсяПонравилось10
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

“Microsoft said late Saturday that dozens of computer systems at an unspecified number of Ukrainian government agencies have been infected with destructive malware disguised as ransomware, a disclosure suggesting an attention-grabbing defacement attack on official websites was a diversion. The extent of the damage was not immediately clear.”
apnews.com/...​51709fba66b31fd512f734d80

так, походу дефейс просто був відволіканням уваги

Ще прикольний факт що інтрукція СБУ як оновити October CMS написана на зламаному офісі який зкачаний з рутрекера.
ахахахха тобто мяУ

перший факт, що привертає увагу, це підозра...

Факты, построенные на предположениях, это не факты. Из всех фактов, которые перечислены автором и имеют отношение к кибератаке, очевиден только один — атака таки была, все остальное — предположения автора

Експерти з кібербезпеки із США знайшли російський слід. Це дійсно новий погляд на те що відбулося

Експерти з кібербезпеки із США знайшли російський слід.

Щось мені підказує, це взаємно

Какие убожеские русские фамилии.
Особенно приз зрительских антипатий достанется любой, которая заканчивается на «рыгин», какой-нибудь Барыгин.

і якщо у вас є щось з цього і ви це не оновлюєте

вам варто почати розслідування інциденту просто зараз.


Серйозно? Людям у яких у 2022 cms на php,та ще й не оновлюється — варто починати розлідування?

Newsflash: CMS на пиху в 80% сайтів :D

продолжайте вести наблюдение

А факты-то где?

Ботофэрма кацапська вже вкидає відмазки

Зокрема про те, звідки та по яких точках нам варто було б чекати наступного удару

web.mit.edu/...​adnick/www/wp/2016-22.pdf

PS: Намагання москвофілів вигородити рфію читати дуже смішно

Дело раскрыто. Секретные агенты Кремля под прикрытием обнаружили дыру в OctoberCMS, сообщили о ней всем миру, а потом полгода шантажировали украинские власти, чтобы те не пропатчили свои говносайтики. И вот в момент X агенты воспользовались уязвимостью. Наконец-то все части пазла сложились в цельную картину.

вже є заява майків що дефейс прикриття і відволякання уваги від іншого зламу.
www.microsoft.com/...​-ukrainian-organizations

Тобто хлопці досліджують, звітують, та просувають світову кібербезпеку. Як захисну — даючи вендорам змогу виправити вразливості, так і наступальну — дозволяючи спецслужбам перетворити вразливості на зброю та використати в кібератаках проти систем, адміни яких не поспішають з оновленнями.

И эти выводы о спецслужбах вы сделали на основании 3 фактов:
1. они зарепортили баги пол года назад в OctoberCMS.
2. они граждани РФ.
3. один из них нашел уязвимость в роутере и на него в сноске ссылается журнал

Крутой ресьорч :) След взят.

Пробачте але це не дослідження. Це 15 хвилин осінту і цікаві спостереження. Які я сподіваюсь надихнуть колег робити щось подібне. Проте кому я це пишу :D

Подписаться на комментарии