Україну накрили хакерські атаки: постраждали урядові сайти, портал «Дія» недоступний

У ніч на 14 січня 2022 року Україну накрили хакерські атаки. Зокрема, кібератак зазнали більшість урядових сайтів, у тому числі портал «Дія». Низка вебресурсів досі недоступні. Зібрали головні факти про ці атаки, хто постраждав та які наслідки можуть бути.

Із чого все почалося

Близько 02:00 Гільдія ІТ-Фахівців опублікувала на своїй сторінці в Telegram повідомлення про те, що нині відбувається атака на портали уряду. Зокрема, на сайтах Кабінету міністрів України, Міністерства освіти, Міністерства аграрної політики та Міністерства регіонального розвитку були розміщені зневажливі дописи щодо України, її історії та народу.

Причому повідомлення були розміщені відразу трьома мовами: українською, російською та польською.

Станом на 9:30 ситуація залишалася незмінною. Низка урядових порталів, зокрема вебсайт державного підприємства «Дія», були недоступні.

Хто ще постраждав

Нижче подано повний перелік урядових вебресурсів, які зазнали кібератак:

Станом на 12:30 більшість цих сайтів були недоступні.

Реакція влади

О 07:00 Міністерство освіти і науки України оприлюднило заяву на Facebook, перепросивши за незручності.

«У зв’язку з глобальною атакою у ніч із 13 на 14 січня 2022 року офіційний сайт Міністерства освіти і науки тимчасово не працює. Тривають роботи з усунення несправності, а також працює СБУ та Кіберполіція», — йдеться в заяві.

Близько 10:00 з’явилась офіційна реакція Міністерства цифрової трансформації. Там повідомили, що роботу більшої частини атакованих державних ресурсів уже нібито відновлено.

«Контент сайтів при цьому залишився без змін, і витоку персональних даних не відбулося. Інші сайти відновлять роботу найближчим часом», — запевнили у відомстві.

Там пояснили, що постраждала тільки працездатність деяких сайтів, а не державних реєстрів.

У Мінцифри також зазначили, що мобільний застосунок «Дія» працює в штатному режимі. При цьому міністерство підкреслило, що «Дія» — безпечний продукт, який не зберігає персональні дані, а лише відображає їх із реєстрів.

Тим часом портал «Дія» влада нібито спеціально відключила, як і низку інших урядових сайтів, з метою локалізації проблеми та запобігання поширення атаки на інші ресурси.

«Зараз Держспецзв’язку спільно зі Службою безпеки України та Кіберполіцією збирає цифрові докази та займається розслідуванням інциденту», — доповіли в Мінцифри.

Позиція Гільдії ІТ-Фахівців

В організації переконані, що в контексті нещодавніх так званих «оновлень» найпопулярнішого державного застосунку «Дія», сьогоднішні кібератаки свідчать про фундаментальну помилку у проєктуванні.

«Централізовані системи мають невідомий рівень безпеки та не можуть слугувати гарантом надійного збереження даних. Особливо, коли йдеться про рівень держави», — наголосили в Гільдії.

Там вважають, що закритість інформації, а саме архітектури, коду та структури внутрішніх даних, зводить нанівець усілякі багбаунті, перетворюючи їх у «намагання знайти перемикач у кімнаті в цілковитій темряві». Особливо небезпечною є подібна ситуація нині, в умовах російсько-української війни — з державою, котра об’єктивно має сильний ресурс, зокрема у сфері кібервійськ, додали в організації.

«Представникам влади аж ніяк не варто недооцінювати ризики та наражати на небезпеку, фактично, всіх громадян України — бо, як показує сьогоднішній кейс, все цілком може бути використано і проти нас самих. Чи готові вони нести особисту відповідальність за подібні ризики? Які гарантії того, що подібна вразливість даних одного дня не нашкодить нам із вами⁉️», - поцікавилися в Гільдії ІТ-Фахівців.

При цьому організація пригадала слова глави Мінцифри Михайла Федорова, який раніше заявляв про нібито перебільшену роль кібербезпеки через відсутність реальних загроз.


Раніше повідомлялося, що близько 67% українських компаній за останні два роки стикалися з проблемами у галузі кібербезпеки, а 33% стають жертвам діяльності кіберзлочинців більше трьох разів на місяць.


Долучайтеся до обговорення теми атаки на українські урядові сайти на Форумі.


Слухайте подкаст DOU про кібербезпеку із Владом Стираном.

👍ПодобаєтьсяСподобалось14
До обраногоВ обраному0
Підписатись на автора
LinkedIn



75 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

З учорашнього вечора Україну накрили хакерські атаки: постраждали урядові сайти, місцями недоступний портал «Дія» та міністерські сайти.

Протягом усього дня у хмарах AWS дме вітер у дві дулі. До полудня хардрезет державних серверів не очікується. У другій половині дня можливий дрібний відгук на пінги по 4G, який до вечора повинен закінчитися.

Якщо ранiше цього дня стояла ясна та холодна погода у серверній, то літо очікувалось посушливе. Століття тому наші пращури вибігали в цей день на вулицю і ворожили на провайдерів «Трищи, мороз, не тріщи — минули Водохрещі: дуй, хурделиця, не дуй — один...»

А откуда перечень пострадавших ресурсов?

Уже сутки лежит сервис МТСБУ, а причины мы узнаем из канала Гороховского.

Ещё одно совпадение: не работал сайт 104.ua. Связано это с атакой или нет — минцирк не прокомментировал.

В прессслужбе РГК писали, что связанно, но не писали как

Эт херьня. Оказывается электронный суд лежит!!! И нигде не слова — тщательно скрывали. Только Шевченковский суд упомянул что у них не работает на фейсбуке и потом кто-то оставил коммент что у всех с пятницы не работает

Там вроде и у Прозоро что-то упало.

Ну и просто зафиксирую итоги понедельника:
* МТСБУ лежит — речь конечно о реестре/поисковике страховок и API для внешних систем таких как кабинет водителя и разных продавцев страховок типа Монобанка
* Дия лежит — речь о кабинете на сайте
* не могу проверить лично поскольку не ставил мобильную Дию, но слышал немало отзывов о пропавших в мобильной Дие документах и нерабатющих сервисах

Соглавно заявлениями киберполиции и СБУ эти два неработающих ресурсах попадают в 5% — остальные 95% вроде бы как восстановлены.

Такой пятничный топик, и так мало коментов(

СБУ видало ось такі рекомендації ssu.gov.ua/...​saity-derzhavnykh-orhaniv Оскільки вони в форматі MS Word, це взагалі виглядає як фішинг, бо в скріптах ворду може бути єкплойт. Чому не можна було просто в HTML додати Або PDF не розумію.

Ха. На Порталі Дії щоб авторизуватись за ключем, треба обрати ключ на диску і ввести пароль для нього. Все нормально, проходимо повз, не затримуємось, роль кібербезпеки перебільшена

Не так, що в цей момент приватний ключ опиняється у дієвих. Вони, звісно, розповідають, що воно, мовляв, обробляється локально на машині, але жодна людина не буде кожного разу проводити авдит їхнього жопоскрипта при авторизації.

Это сейчас самый адекватный способ работы с ключами в вебе, если у вас конечно нет информации об обратном

Та все норм, працюйте адекватно далі.

Разберетесь в теме — возвращайтесь

самый адекватный

На жаль, це найнеадекватніший метод, до якого тільки можна було додуматися. Приватні ключі ніколи не мають передаватися будь-куди за межі контрольованого вами обладнання, інакше вони вважаються скомпрометованими і мають бути відкликаними. Той, хто додумався до аутентифікації на сайті по закритим ключам, свідомо нехтує базовими принципами асиметричної криптографії. Сама наявність такого методу аутентифікації повністю дискредитує установу, яка її практикує.

Завантажити в Дію чи в кабінет платника податків свій приватний ключ ЕЦП з паролем, це як віддати мусорам копію ключів від своєї квартири, щоб вони могли прийти, знайти у вас вдома ваш паспорт і таким чином підтвердили вашу особу.

Єдиний потенційно адекватний метод використання ключів ЕЦП у вебі для авторизації — це використовувати апаратний токен, той що для кваліфікованого електронного підпису (КЕП). Це за умови, що ми віримо у стійкість самого криптоалгоритму ДСТУ 4145-2002, довіряємо виробнику апаратних токенів (що приватні ключі дійсно не можна витягнути з токену), довіряємо виробнику закритого windows-only софту для керування ключами на токені і, нарешті, довіряємо застарілому NPAPI браузерному плагіну. Якби цей плагін і весь інший відповідний софт був відкритим і у його якості можна було б пересвідчитися, то це навіть мало б раціональне підґрунтя.

Пишуть на стековервловах, що в естонців для їх діджитизації є десктопна аплікація до якої звертається бравзер за підписом. Підтримує ключі в файлі та апаратні токени. Сама аплікація відкрита і певно ж що й авдит якійсь пройшла, і — що найголовніше — її встановлення контролюється користувачем, а не тягнеться з сайту при спробі зайти на нього, що з огляду на нещодавній дефейс взагалі грає купою барв. Такий підхід суміщає, наскільки це можливо, безпеку на зручність використання.

Особисто мене в принципі влаштувало б, якби запит можна було завантажити, підписати локально руками gpg/openssl, і вивантажити назад, чорт з нею вже з тією зручністю. Але ж де там...

К слову, у укрсибба тоже

є десктопна аплікація до якої звертається бравзер за підписом.

Да у приветБанка ставился для подписи отдельный криптоПлагин, это была отдельная софтина. А у этих криворуких вы в браузер ключ грузите,это рукалицо

Не путайте «адекватный» и «безопасный». Я вам говорил про самый адекватный способ, вы мне предлагаете самый безопасный. Вот только в вашем подходе есть один минус — аппаратного почти ни у кого нет. А если вы имеете хоть какое-то представление о безопасности, то должны знать что решения всегда принимаются с оглядкой на удобство. И я вполне могу понять принятое решение разрешить любому человеку хранить свой ключ на диске и использовать напрямую через джс, чем дать возможность пользоваться подписью только двум калекам которые купят аппаратный токен. Это утопия думать что все люди попрут в магаз их покупать. Много из ваших знакомых программистов используют аппаратные ключи для 2FA/ssh/etc.? Я вот в своем окружении чуть ли не единственный. А вы ожидаете что миллионы обычных граждан пойдут их покупать? А еще этот токен пришлось бы адаптировать под разное железо (ведь будут желающие и на винде и на маке и на мобильных устройствах), а джс один раз написал и забыл.
И непонятно откуда этот поинт про то что ключ покидает устройство, все операции можно реализовать в браузере.
На последок ещё вопрос на подумать: является ли вообще воровство вашего приватного ключа самой уязвимой точкой всей этой системы. Или может таже Дия ломается другими методами намного проще?)

Йдеться не про «самий», а про безпечний в принципі. Якщо ключ комусь дали — його треба відкликати. Все.

Ключ никто никому не «давал». Я понимаю что доверия тому джс файлу мало, но кричать что он кому-то что-то секретное отправляет у вас тоже нет оснований. Вы хоть раз тот джс смотрели? Смотрели что по сети отправляется на сервер в дебаге браузера? Есть доказательства что ключ утекает? Если нет, то вы как-то утрируете, это не очень красивая манипуляция с вашей стороны

Докази потрібні не що ключ вкрали, а що він в безпеці.

Ну тогда ждите доказательств) А остальные люди будут пользоваться рабочим сервисом. Ибо цель — это как раз рабочий сервис, а не удовлетворение желаний параноиков.

В JKS сложен только публичный ключь ? Можно посмотреть через JKS viewer или сконвертировать в PEM.

Самый адекватный способ, если нет возможности использовать смарт-карты — лвухфаиорная аунинтификация. Входишь через веб, активируешь вход через телефон с помощью дактелоскопического датчика. Уже даже в gmail этот механизм.

Не путайте «адекватный» и «безопасный». Я вам говорил про самый адекватный способ, вы мне предлагаете самый безопасный.

Те, що не є безпечним, не може бути адекватним.

Поработаете хоть чуть-чуть в безопасности, узнаете что нет такого как безопасный и небезопасный. Что эти эпитеты существуют только в контексте сравнения. А еще узнаете что безопасно — это не состояние, а процесс. Не вижу смысла вам еще что-то объяснять

Срака в тому що обидва ключа в середні JKS файлу, а передавались маэ виключно публічний ключ. Тобто там є вразливість blocker пріоритету. Доведеться відкликати усі ключі і переробити механізм.

Публічний ключ є публічним, перепрошую за тавтологію. Його можна публікувати в газетах та писати на заборі. Наприклад, відкритий ключ Рябошапки є у будь-кого, хто цікавився інцидентом з його підписом.

Тож фактом наявності відкритого ключа особу не доведеш.

Виктор вообще-то говорит о передаче приватного ключа.

Можливо, я не так зрозумів слова попереднього дописувача, але у мене склалося враження, що він пропонує під час аутентифікації передавати відкритий ключ. Якщо це не так, то я вибачаюсь.

Власне, асиметрична криптографія використовується для аутентифікації різними шляхами (зазвичай¹ через підпис), але вона завжди вимагає активної участі, якихось криптографічних обчислень на стороні клієнта.

_______
¹ Сервер каже вам Set-Cookie: session_id=xxxx, а ви йому у відповідь: «я, ФОП Жаботюк зі Зміївщини, цим запитом офіційно прошу всі дії браузера з кукою session_id=xxxx вважати вчиненими мною особисто». І підпис за ДСТУ 4145-2002.

І підпис за ДСТУ 4145-2002.

підпис виконується закритим ключем який є лише у тебе а перевірити цей підпис можна відкритим ключем який може бути у будь кого

фактично коли хтось хоче перевірити твій підпис він має звертатися до авторізованого сховища відкритих ключів які власне і підтверджують що оцей відкритий ключ то є саме

я, ФОП Жаботюк зі Зміївщини

і за допомогою цього відкритого ключа підтвержденого авторизованим сховищем далі перевірити твій підпис

І підпис за ДСТУ 4145-2002.

гляньте на поле Company у властивостях файлу. там SPecialiST RePack

тобто це ломаний офіс з рутрекера

Тут где-то заявляли что реестры не пострадали. Ну ну...

И я об том же), Дия только берет из реестров, ну ну ))

О, а я все чекав колиж почнуть говорити про россійських хакерів, а не тільки про 100к військових біля кордону. Взягалі думав, що атака РФ має починатись з зламу та відключення ключових об’єктів інфраструктури, а не з арт підготовки. Тож я б розглядав це як поштовх до посилення кібербезпеки, натяк.

Є версія, що сайти навмисно поклали, щоб відволікти населення від приїзду Порошенка 17.01.2022.

Хакеры с Рошен?

Пообжераються «Шаленої бджілки» і таке починають витворяти :)

Прокидайтесь, чуваки: ви обісрались.

Саме час нагадати чим займався майбутній цифровий міністр «роль кібербезпеки перебільшена» до захоплення цими аферистами влади:

dou.ua/forums/topic/26929

СБУ буле моніторити всіх 1500 членів гільдії?
Пацани нашару підставились?

Была где-то цитата от авторов Дии, что важность кибербезопасности слишком преувеличена... ну да

Так он же, прямісінько на картинці.

Беріть вище, це сказав сам Фьодоров, міністр цифрової трансформації.

Кажуть що зловмисники зламали інфраструктуру хостера через вразливість log4j. А далі запустили encripter на всіх віртуальних машинах.

Дефейс зробили через відому вразливість OctoberCMS www.cvedetails.com/cve/CVE-2021-32648

Роль патчів трохи перебільшена.
Ми не патчили діряву CMS понад півроку і нічого не відбувалося!

а тут пару лет назад пробегала тема про хакера-волонтера, который нашел уязвимость, рассказал о ней чиновникам — и на него подали в суд. ну вот типа очевидный результат

Завжди.

Артем Поліщук:

Sean Brian Townsend, виявилось, що я був першим і єдиним, хто офіційно телефонува в СБУ/Кіберполіцію і офіційно подав заяву на 102 о третій годині. Зранку думав, що мене арештують. 😀
"Де ви є? Ми зараз до вас приїдемо і будемо ізимать техніку. Через вас, у нас тут генерали всіх... 😀

dou.ua/...​rums/topic/36083/#2319906

Якщо це правда, то навіть не смішно сидіти півроку на дірявому софті. Це не про кібербезпеку, а про банальну компетентність.

Це правда. І так це свідчить про те, що наші крики, що шлемазли не можуть створювати і експлуатувати таку систему, це занадто небезпечно, абсолютно справедливі.

«Таку систему» — це інформаційний сайт МЗС?

А ше Дію, Мінюст (суди впали), МТСБУ — не працювали (а може не працюють) електронні страховки, податкова — люди не могли податкові накладні зареєструвати, кабінет водія. А так всьо харашо прєкрасная маркіза.

«Таку систему» — це інформаційний сайт МЗС?

Таку — це критичну для «бізнесу». Якби замість такої от дурості там з’явилось «визнанням військових злочинів злих ЗСУ та НАТО проти мірних шахтарів якутії», до чого це б призвело? (саме смішне, що зараз така влада, що і правдоподобно звучало б)

Замість власного дата центру, чомусь якийсь хостінг в Швейцарії. Ще зрозуміло було якщо були б якісь відомі клауди: AWS, GCP, Azure. А так взагалі багато питань, наприклад скільки це нам з вами коштувало і скільки платили за той хостинг на якому мало не всі державні портали. Чому міністерство є, а хостится воно бозна-де замість власного дата центру ?

думаю, що з тієї ж причини, з якої прості бізнесмени виносять свої сайти подалі — щоб не віджали)0)

Может оно все хостилось на ноутбуке, а для обслуживания «серверной инфраструктуры» брались командировки в такую красивую страну как Швейцария.

Ну я немного слышал о подобных проблемах. В стране с коррупцией нет нормальных датацентров за вменяемую цену — ибо приходит СБУ и выносит сервера. Поэтому проще найти хостинг за границей. Ну или делать самому — но там сваю в метро забьют, и два дня не будет связи (это вроде реальный случай)

Если СБУ уже будет выносить, вернее вывозить, стойки серверов которые хостят сайт кабинета министров, то думаю вполне резонно вызывать директора СБУ на разговор к примьеру с президентом на предмет соответствия занимаемой должности. ИМХО это понятно не то что директору СБУ но и самому начинающему сержанту с рисепшена. А так обычно разные силовики раньше делали шантаж бизнесов, захватывают офис и серверные и или мзда, или останавливаем тебе бизнес, на основе анонимного доноса о причастности к японскому терроризму. Давненько я уже такого не помню чтобы было такое, крайний раз где-то в 16 году.

Тут проблема, что нет людей, способных сделать хостинг с нуля — ибо с локальным частным хостингом силовики борются чуть ли не как Сталин с генетикой. И готового тоже нет. По той же причине.

Дія хоститься в ДеНово. Так що як мінімум один IaaS є.
Але проблема в тому, що він один і коли ДеНово криво накотили апдейт на гіпервізор Дія лежала пів дня.

Они выносят всех. Начиная от хостеров, заканчивая «гаражными» провайдерам мобильных прокси.
Схема проста как дверь. Регистрируетесь, получаете сервер/прокси, оставляете десяток пророссийских комментариев с полученных ип, профит. Раскрываемость растёт, «ботофермы» уничтожены

Интересно, роль кибербезопасности все еще «немного преувеличена», или уже нет? :)

У «посланні» українцям, яке хакери залишили на сайті Міністерства закордонних справ, версія польською мовою видає, що ті, хто його писав, не є носіями мови:
www.eurointegration.com.ua/news/2022/01/14/7132569

Ну типо хтось думав інакше) І типо не зрозуміло хто це зробив))

До речі, виявилось, що за атакою стоїть хакерська група, пов’язана із Беларуським КГБ, а не із ФСМ :)

Беларуським КГБ

Це філіал русні насправді

Оставили визитку Лукашенко?
От взломаных серверов пахло дерунами или хакеры забыли где-то клюшку?

дивно, що румунською мовою ще не написали. І турецькою. Ну, щоб точно вже замести сліди.

Навіщо турецькою? Угорською й словацькою. Але хиба на угорську можна лише авто перекладачем перекласти зе зрозумілою якостю.

Достаточно было закарпатскою заполировать, и все бы офигели разом

Підписатись на коментарі