Як багатьом відомо, у ніч з 13 на 14 січня “невідомі” хакери здійснили кібератаку на низку українських урядових сайтів. Факти вказують на те, що було здійснено злам вебсайт та підмінено їхній вміст (так звана атака deface або підміни контенту). Доказів того, що нападникам вдалося проникнути глибше, поки що немає.
Але повідомлення, яке на цьому наполягає, було розміщено зловмисниками на зламаних вебсайтах. Мовляв, українці, бійтеся, в Україні немає кому захистити вас від кібератак, і все таке інше. Звичайна пісня геополітично вмотивованого спонсорованого державою-агресором APT, який прикидається групою хактивістів.
Проте здогад про викрадення персональних даних закрадається автоматично, особливо в голови обивателів. Я поки що розцінюю цей сценарій як малоймовірний, але все може змінитися. Сумніваюся я в “глибокому проникненні” тому, що якщо в установі застосовані хоч якісь стандарти кібербезпеки, то публічні вебсайти в ній рідко напряму звертаються до великих сховищ дійсно чутливих даних. Проте, ні для кого не секрет, що кібербезпека України, зокрема в державних установах, далека від “найкращих практик”.
Але досить спекуляцій. Мені тут колеги по цеху прислали цікаві здогади про те, звідки може походити хакерська атака. Ось ними я й хочу з вами поділитися.
Звісно, що Росія спадає на думку першою. Вісім років ведучи неоголошену війну з Україною, та готуючи ґрунт до повномасштабного вторгнення, провести хакерську атаку чисто з метою інформаційної підготовки – це от як книжка пише. Мета інформаційної операції теж очевидна: посіяти в населення паніку, вчергове поляризувати суспільство та дискредитувати владу. І зважаючи на жвавий інтерес до подій та рівень коментарів у ЗМІ – їм це вдалося.
Проте, де факти? З цим питанням нам допоможуть трохи фантазії, підписка на топових кіберекспертів у Твіттері, та вміння користуватися Гуглом.
Отже, перший факт, що привертає увагу, це підозра, що хакерська атака на урядові сайти була можлива через вразливу версію OctoberCMS. Про це пише у Твіттері Кім Зеттер – авторка журналістського розслідування про першу в історії кібератаку на критичну інфраструктуру Stuxnet.
Кім дає посилання на вразливість, яку, на її думку, було використано для зламу. Це нічим не примітна дірка безпеки з середнім рівнем ризику (6.4/10), яка за вмілого використання може надати хакеру змогу перехопити контроль над чужим обліковим записом. Вразливість було знайдено ще восени минулого року.
Деталі вразливості можна почитати за посиланням, а деталі експлуатації вмілому аналітику з аппсеку будуть очевидні з діффів відповідного виправлення, посилання на які можна знайти там само.
Звісно, привертають увагу джентльмени, які знайшли та відзвітували про цю ваду безпеки. Список з характерних імен та прізвищ можна знайти в подяці розробників OctoberCMS за їхній звіт про цю вразливість.
- Andrey Basarygin
- Andrey Guzei
- Mikhail Khramenkov
- Alexander Sidukov
- Maxim Teplykh
Кілька хвилин пошуку в інтернеті дають й без того очевидний результат: це все російські громадяни, які дуже активно займаються пошуком вразливостей у популярному програмному забезпеченні.
Під час пошуку інформації про цих панів спливають такі установи як Positive Technologies та Ростелеком, проте увагу привертає інший об’єкт їхніх спільних досліджень. Це ще одна система управління вмістом вебсайтів Typo3. І так, вони знайшли кілька не менш цікавих вразливостей у ній та її популярних розширеннях.
- https://typo3.org/security/advisory/typo3-ext-sa-2021-004
- https://typo3.org/security/advisory/typo3-ext-sa-2021-006
- https://typo3.org/security/advisory/typo3-ext-sa-2021-017
Я не аналітик з кіберзагроз, проте інтуїція спеціаліста в галузі інформаційної безпеки підказує мені, що якщо у вас Typo3 – вам варто почати розслідування інциденту просто зараз.
А взагалі, шукаючи подяки та згадування цих панів у різних security advisories, можна побудувати дуже цікаву соцмережу російських дослідників безпеки. Продовжуючи збір даних про їхню діяльність можна знайти хто із ними співпрацював та які вразливості в інших системах репортив. Так, шановні аналітики державних кіберцентрів, це я тут до вас звертаюся. У вас же десь в Casefile вже є докладний граф їхніх стосунків та фактів співпраці?
Ось, наприклад, звіт на Хабрі про низку CMS, по яких пройшлася внутрішня команда пентестерів Ростелекому. Список продуктів цікавий та дуже популярний, і якщо у вас є щось з цього і ви це не оновлюєте – дивиться пораду про Typo3 вище.
- Contao
- Concrete5
- ExpressionEngine
- Typo3
- OctoberCMS
- ModX
Список учасників дослідження теж цікавий, проте ви вже бачили його раніше:
А у статті “The Router Security Is Decadent and Depraved” у випуску журналу Paged Out! за 1 серпня 2019 р. [PDF] у співавторах випливає Igor Chervatyuk, і стає видно, що в них з Басаригіним на рахунку є успіхи не лише у вебдодатках, але в цілком собі хардкорному реверсі.
Тобто хлопці досліджують, звітують, та просувають світову кібербезпеку. Як захисну – даючи вендорам змогу виправити вразливості, так і наступальну – дозволяючи спецслужбам перетворити вразливості на зброю та використати в кібератаках проти систем, адміни яких не поспішають з оновленнями.
Чи є дії російських хакерів напряму пов’язаними з російськими спецслужбами? Питання риторичне. З одного боку, майстерність росіян в досягненні plausible deniability може створити сумніви в головах найменших фанів РФ. З іншого, культура професійної спільноти та бізнесу кібербезпеки в Росії виключає незалежність від державної політики.
Тому, незалежно від того, чи знайдуть колись аналітики кіберзагроз прямий зв’язок між працівниками російського державного телеком-оператора та державними спецслужбами, ігнорувати інформацію про дослідження росіян просто неприпустимо.
Публічної інформації про діяльність дослідників досить, вони їх не приховують. Дослідження вразливостей добре впливають на кар’єру спеціаліста з кібербезпеки та бізнес його роботодавця. Шукаючи звіти, співавторів, знову звіти, і так по колу – складається дуже цікава картина.
Зокрема про те, звідки та по яких точках нам варто було б чекати наступного удару. Сподіваюся, саме таким аналізом зараз зайняті аналітики українських державних центрів захисту від кіберзагроз.
Стратегія кібербезпеки України, на жаль, все ще полягає у реакції на агресивні дії росіян. Проте навіть якщо на стратегічному рівні щось зміниться, хакерам на це начхати. Хакер не читає стратегію, політику чи закон про кібербезпеку. Хакер шукає вразливості та використовує їх, щоб змусити ваші системи робити речі, які, м’яко кажучи, не у ваших інтересах.
Тому для того, щоб захиститися від хакерів, вам треба спершу зрозуміти, що таке кібербезпека. Не що таке спеціальність кібербезпека у виші, та не що таке кібербезпека критичної інфраструктури на законодавчому рівні, – це все слова та параграфи, які нічого не означають без концептуального розуміння предметної області.
Кібербезпека це в першу чергу скептичне ставлення до прийнятих рішень ІТ-спеціалістів, ІТ-менеджерів, керівників організацій та самого спеціаліста з кібербезпеки. Це має зрозуміти кожен, хто хоче називатися експертом в цій галузі. Інакше він так і залишиться шарлатаном, що загубився у лісі власних хибних переконань та стереотипів.
Розуміння цієї простої концепції не дають курси ISACA та (ISC)2, не кажучи вже про виші що все ще навчають “захисту інформації”. Та без неї кібербезпеку в організації не побудувати. І не поможуть ані проведення аудиту кібербезпеки, ані топові консультанти з найкрутішими сертифікатами, ані відкриття вихідного коду, ані топові хантери в баг-баунті програмі.
Кібератаки на вас здійснюють люди, які добре вміють ставити під сумнів ваші рішення з кібербезпеки. Поки ви не навчитесь робити це раніше та швидше за них, безпека ваших комп’ютерних систем завжди буде під кібер-загрозою.
Замість роздавати спекулятивні коментарі телеканалам, які з самого ранку садять мені батарею в смартфоні, я витратив кілька хвилин для підготовки цього тексту. Сподіваюся ці рядки наштовхнули вас на конструктивні роздуми. Бережіться.
не зовсім зрозуміло нашо їм розкривати вразливаості, які вони знайшли
чому просто не використовувати тоді їх?
Питання старе як кібербезпека 😀
Так завжди роблять легітимні та законослухняні дослідники вразливостей. як ці вразливості далі будуть використовуватися, це не їхній головний біль.