Російські хакери заявили, що зламали «Дію», сайти КМДА та «Мотор Січі». Forbes розповів деталі
23 лютого о 3:57 на Telegram-каналі Free Civilian з’явилося повідомлення з анонсом зливу даних із низки українських державних сайтів, сайту АТ «Мотор Січ» і порталу державних послуг «Дія». Канал створили лише 21 лютого, але рік тому користувач із аналогічним нікнеймом продавав нібито дані користувачів «Дії» у даркнеті, повідомляє Forbes Україна.
У CERT-UA (команда реагування на комп’ютерні надзвичайні події, спеціалізований структурний підрозділ Державного центру кіберзахисту, — ред.) припускають, що за ніком Free Civilian можуть ховатися члени хакерського угрупування UAC-0056. Воно з’явилося на початку
📌 Що зробили хакери і навіщо
Після нічного повідомлення у каналі Free Civilian з’явився список 22 зламаних українських ресурсів, серед них — Мінсоцполітики, Міносвіти, Держказначейство тощо. Хакери зробили так званий deface — зламали сайти та замінили оригінальний контент власним логотипом і посиланням на Telegram-канал. Схожі злами сталися рік тому — у лютому
До середини дня 24 лютого атаковані урядові сайти повністю відновили роботу. Ресурси регіональної влади все ще не працювали, а сайт «Мотор Січі» нібито знаходився на реконструкції. Наразі виглядає, що підприємство постраждало від зловмисників найбільше.
Такі атаки приносять мало користі ворогу — deface не означає компрометації чутливих даних чи вихідного коду. «Їх легко робити, але вони малодієві, — говорив в інтерв’ю для Forbes гендиректор Cyber Unit Technologies Єгор Аушев. — Це більше інформаційно-психологічні операції».
📌 Що сталося з «Дією»
Хакери також заявили про нібито витік даних із порталу держпослуг «Дія», опублікувавши чотири заархівовані файли. «Це стара компіляція старих зливів», — впевнений менеджер із наступальних кібератак Divoro Сергій Харюк.
Рік тому, у ніч із 21 на 22 січня
На потенційний злам «Дії» вказувала структура злитої інформації, доступ до сканів документів та актуальність записів. Однак Мінцифри заперечувало злив і називало його провокацією та продовженням гібридної війни.
Аналогічна позиція цифрового міністерства й у лютому
📌 Що сталося з порталом КМДА
24 лютого на Telegram-каналі Free Сivilian з’явилася нова порція документів. Автор стверджує, що це персональні дані сервісів КМДА, документи столичної влади, листування з послом США Бріджит Брінк від грудня
Поки Forbes не вдалося підтвердити чи спростувати достовірність документів. «Щодо цього інциденту проводиться розслідування спільно з CERT-UA. Цифрові системи міста працюють без збоїв у штатному режимі», — без подробиць прокоментував керівник напрямку цифрової трансформації КМДА Петро Оленич.
Джерело: Forbes Україна
📌 Активізація на кіберфронті
«Здається, що це звичайний „флаговтик“ до круглої дати», — каже Сергій Харюк. У зловмисників був доступ до систем ще з 2022 року, і вони встановили інструменти, які їм давали змогу отримувати доступ прихованими методами, пояснює він технічний звіт CERT-UA.
Українські кіберактивісти теж «відзначили» річницю вторгнення. 23 лютого в ефір кримських радіостанцій «Супутник у Криму» та «Віра» запустили звернення керівника ГУР Кирила Буданова з закликом до патріотів України. Днем раніше мешканці 12 російських міст по радіо почули попередження про загрозу ракетного удару. Російські пабліки писали, що доступ до частот радіостанцій отримали хакери.
Ознаки більш серйозної активізації на кіберфронті спостерігаються з початку року. У січні IT-армія повідомила про злам російського «Газпрому». Група HackYourMom взяла відповідальність за злам іранського оператора IranCell. Організація передала українським спецслужбам 45 ГБ інформації з даними 52 млн абонентів. Водночас стався витік вихідного коду російського пошуковика «Яндекс». Ймовірно, дані забрав колишній працівник компанії ще у
«Користуємося зливом „Яндексу“ та IranCell для збору найбільш активних і агресивних хакерів для роботи під час активної фази війни», — казав тоді засновник HackYourMom Микита Книш. Його угрупування готувалося до весняного загострення на фронті й завчасно розширювало команду.
Великі хакерські атаки готуються місяцями й часто йдуть паралельно наступам на фронті. Хакери проникають у системи та чекають. «Згодом вони одночасно можуть вимикати системи, шифрувати бази даних або взяти під повний контроль системи управління об’єктами критичної інфраструктури тощо», — пояснює Єгор Аушев.
📌 Що може стати результатом цієї підготовки
«Готується великий секторальний витік щодо усіх конструкторських бюро на території росії», — анонсує Книш, не уточнюючи назву підприємств. За його словами, дані вже передали іноземним партнерам. «Невдовзі ввесь світ аналізуватиме побудову складної радіоапаратури, дронів, російських ЗРК, танків, гармат тощо», — додає він.
5 коментарів
Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.