23 вересня на низці сайтів регіональних представництв Національної поліції стався збій — вони "лягли" і припинили роботу. Цьому передував вихід на кількох обласних сайтах поліції новин, які виявилися фейковими. Усе це сталося під час українсько-американських військових навчань. Поки над Києвом та ще кількома містами літали американські військові конвертоплани й посольство США закликало махати їм рукою, невідомі поки хакери "ховали" українських військових та американських радників, "гвалтували" за їхньої допомоги дівчат та "зчиняли екологічну катастрофу" на об'єктах інфраструктури.
Що сталося
Збій стався через несанкціоноване втручання в роботу центрального сайту Нацполіції, що, в свою чергу, спричинило "падіння" його регіональних сторінок.
"Сьогодні (23 вересня - ред.) об 11:45 зафіксовано несанкціоноване втручання у роботу офіційного сайту Нацполіції. У зв’язку з цим на деяких інтернет-сторінках обласних управлінь поліції була поширена недостовірна інформація", - повідомили у пресслужбі НПУ. Лиха доля спіткала обласні ресурси НПУ у Києві, Сумах, Черкасах, Одесі, Житомирі, Тернополі, Івано-Франківську, Луганську, Чернівцях, Харкові та на Закарпатті. Сторінки видавали помилки 502Помилка 502 - результат запиту, який означає, що на стороні сайту виникли проблеми. Проблема найчастіше викликана неправильною роботою обладнання хостера або його неправильно вибрано параметр. Типовою проблемою може бути неправильне налаштування DNS або проксі сервера. або 521Помилка 521 - Неможливо отримати відповідь від сервера. Система безпеки веб-сервера внесла запити Cloudflare в чорний список. Це пов'язано з тим, що система працює за принципом зворотного проксі-сервера. Ваша система безпеки могла прийняти періодичні підключення від статичних IP-адрес за DDoS-атаку. Через це адреси блокуються або обмежуються по швидкості., яку видають інтернет-ресурси, коли вебсервер несподівано обриває з'єднання з CloudflareАмериканська компанія, що надає мережеві послуги доставки контенту, пом'якшення DDoS атак, роботи служб безпеки в Інтернеті та сервіси сервера розподілених доменних імен. Такі помилки можуть свідчити про перенавантаження серверу або про те, що система безпеки могла прийняти підключення від статичних IP-адрес за DDoS-атаку.
Про що фейки
"23 вересня в Яворівський центр поліції надійшло повідомлення про те, що в Міжнародному центрі миротворчості та безпеки виявлено тіла трьох військових без ознак життя з численними ушкодженнями. Як попередньо встановили слідчі, військові загинули від вибуху снаряда". Таке повідомлення з'явилося зранку на сайті Нацполіції Львівщини. Пізніше у поліції Львівської області спростували цю інформацію, але сайт Головного управління Нацполіції області станом на 14:00 23 вересня ще не працював.
Про хакерську атаку на сайт також повідомила поліція Рівного. Там невідомі опублікували інформацію про викид радіоактивних речовин на Рівненській АЕС і введення у місті Вараш режиму надзвичайної ситуації. Ба більше, в даному випадку однакові фейки з'явилися одразу на сайтах мерії Вараша та облполіції. У тексті "новини" військові навчання названо "вчення", а міську раду Вараша - "Варашская міська дума", що видає приналежність автора до поганих знавців мови та державного устрою України.
"23 вересня в ході проведення планових антитерористичних навчань (в рамках вчення Rapid Trident-2020) на 3-му енергоблоці Рівненської АЕС відбулося короткочасне знеструмлення станції, в тому числі відмова резервних джерел електропостачання. Це призвело до викиду радіоактивних речовин (може складати до 10% від викидів при аварії на Чорнобильській АЕС) в навколишнє середовище, в тому числі витоку теплоносія першого контуру реакторної установки в річку Стир. Стурбовані такою ситуацією, Варашская міська дума прийняла рішення про введення режиму надзвичайної ситуації по всій території району та проведенні добровільної евакуації жителів 30-кілометрової зони навколо АЕС".
На Херсонщині, де триває активна фаза навчань та куди 23 вересня приїхав президент Зеленський, поліція, нібито, з'ясовувала "обставини загибелі американських військових радників".
"Поліція Херсонщини спростовує інформацію об 11:45 на офіційному сайті ГУНП в Херсонській області з’явилась інформація "На Херсонщині поліція з’ясовує обставини загибелі американських військових радників". Офіційно повідомляємо, що дана інформація є фейком і не відповідає дійсності", – написали у Facebook Нацполіції Херсонської області.
Водночас у Вінниці "затримали американського військового за зґвалтування 16-річної вінничанки". Відповідне повідомлення з'явилося на сайті Вінницької поліції та пізніше було спростовано.
"У Вінниці поліція затримала американського військовослужбовця, якого підозрюють у зґвалтуванні 16-річної дівчини. За попередньою інформацією слідства, зловмисник, скориставшись відсутністю родичів дівчини, заманив її в туалет та зґвалтував. Про це вінничанка наважилась розповісти дідусеві та він одразу зателефонував у поліцію", –хакери.
На Миколаївщині, тим часом, спростовували повідомлення про ДТП між військовим автомобілем та мікроавтобусом з п’ятьма загиблими.
"На сторінці Миколаївської поліції з’явилась інформація про смертельну ДТП з п’ятьма загиблими, що не відповідає дійсності. Зараз робота сайту Національної поліції на деякий час призупинена" - сказала речниця облполіції, вибачившись перез ЗМІ та, заразом, закликавши їх перевіряти інформацію.
Що кажуть експерти
Окрім короткого повідомлення про втручання в діяльність сайту, профільні експерти Нацполіції мовчать цілий день 23 вересня. На Рівненщині поліція порушила справу за фактом несанкціонованого втручання в роботу автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку (ч. 1 ст. 361 КК України). Максимальна санкція – позбавлення волі до трьох років.
За даними Суспільного, шукати кіберзлочинців поліції допомагають спеціалісти з СБУ. Граматичні помилки та русизми у фейках непрямим чином видають їхніх авторів. Тим часом, приватні кіберфахівці від дня останньої масової хакерської атаки на ресурси українських державних структур вказують владі на численні факти незахищеності цих ресурсів, однак до них поки не дослухаються, розповів Суспільному директор IT-компанії Berezha Security Костянтин Корсун.
"У кіберком‘юніті понад два роки тривав такий флешмоб із назвою FRD, під час якого українські фахівці з кібербезпеки знаходили та оприлюднювали численні кричущі факти повної незахищеності державних інформаційних ресурсів, пов‘язаних із поліцією, академією МВС, атомними станціями, аеропортами – загалом понад 100 випадків, коли публічно викладали інформацію про практично повну незахищеність. Завершилося це тим, що поліція разом із СБУ сфабрикувала справу проти активістів, у лютому цього року в них пройшли обшуки. Справу досі не закрили, майно не повернули", – розповів Корсун.
На його думку, "державна політика у сфері кібербезпеки полягає у тотальному замовчуванні проблем, коли держава намагається приховати свою некомпетентність".
"Аби сказати напевно, яким чином здійснили злам, треба розслідування, яке має зробити не МВС, а міжнародна компанія, яка після його проведення опублікує звіт саме про цей інцидент. Але я даю 99% імовірність, що цього не буде – чиновники будуть все заперечувати та принижувати значення ситуації", – вважає Корсун.
Читайте також: Фейки про "екологічні лиха": що доводилось спростовувати в Україні і світі
"В Україні досі не існує загальної системи кібербезпеки національного масштабу, немає центрального органу, відповідального за кібербезпеку, хоча й існують окремі установи при РНБО, Держслужбі спеціального зв'язку та захисту інформації, Мінцифри. Здебільшого з 2014 року ми так і лишаємось незахищеними. Якщо у нас досі нічого серйозного і не ставалося, то не через високий рівень захисту, а тому, що росіянам поки що цього не треба. Усе впирається у бажання держави-агресора, у якої є певні ресурси та умовні "кібервійська", коли офіцери ФСБ наймають хакерів-злочинців з даркнету, які виконують їхні доручення", – запевнив експерт.
Фахівці хороші, але завдання не профільні
Корсун позитивно оцінив рівень спеціалістів української Кіберполіції, однак констатував, що вони "часто перевантажені не профільними завданнями".
"До того ж, вони здебільшого розслідують злочини. Хоча є й підрозділи технічного забезпечення, які займаються захистом внутрішніх мереж, на жаль, їхня робота майже не перетинається. Попри те, що в кіберполіції є достатньо кваліфіковані фахівці, вони не залучені в забезпечення кібербезпеки. А світ кібербезпеки є дуже динамічним – сьогодні ви захищені, а завтра з'являються нові вразливості, тактики та методи атак. Кібербезпека – це постійний процес", – зазначив Корсун.
Інший експерт, Віталій Якушев з компанії 10Guards зазначає, що однією з причин повторення подібних злочинів, окрім іншого, є низький рівень відповідальності за них у вітчизняних державних структурах.
"Ви можете перевірити за місцяць, кого було покарано за злам – можливо, когось звільнять, якогось системного адміністратора, але ж це не його завдання. Він підтримує роботу сайту, а не захищає його. Має бути окрема відповідальна людина. За законом, відповідальність має нести керівництво, але якою саме вона є, у законі не прописано – усне попередження, звільнення, штрафи. Якогось об'єктивного покарання немає", - зазначив Якушев.
"Не можу сказати на 100 відсотків, яким чином здійснили злам, але можу надати гіпотези: скоріше за все, ці зламані сайти працювали на спільний платформі – це інтернет-CMS, або движок сайту. Імовірніше за все, або вони не були оновлені, або взагалі були застарілими й в них була загальна вразливість, яку використали зловмисники. Після цього використали тактику deface, коли змінюється частина інформації на сайті – іноді на нього додають новини або гасла", - додав він.
Схоже, що це вигідно РФ: у нас навчання, у них навчання
"За кіберзлочином стоять кілька факторів: в кого була мотивація, можливість і інструмент. Якщо скласти три чинники, схоже що це вигідно РФ – у нас спільні навчання з НАТО, у них – в Криму. Це нагода показати свої "кіберм‘язи". Я гадаю, що це дійсно або кібервійська РФ, або хакери-активісти, скажімо, з тих, хто симпатизує РФ. Визначити, хто це зробив точно – завдання навіть не кіберполіції, а СБУ у співпраці з іноземними колегами, бо я вважаю, що це – загроза нацбезпеці. А координувати процес має національний координаційний центр з кібербезпеки при РНБО" - вважає Віталій Якушев.
"За наявними факторами схоже, що атаку здійснили з російської сторони, але треба аналізувати все комплексно, щоб не пропустити якусь ситуацію. Якщо всі злами ми будемо скидати на кібервійська Росії то можемо втратити ландшафт загроз. Якщо будемо вузько дивитись на "хто атакує", то втратимо частину "як атакує". Коли у нас низький рівень захисту, зламати держресурс може навіть школяр з Ірану, як це було кілька років тому, який просто знайшов вразливість движка сайту. Це треба теж враховувати", - додає він.
За словами Якушева, Україна має достатньо кваліфікованих спеціалістів на профільному, "особливо на приватному" ринку, однак працювати їм у повній мірі заважає нецільове використання бюджетних коштів і корупція.
"Держресурси ламають і в США, і в Європі. Але на захист витрачають більше ресурсів, до того ж там більш жорстка відповідальність, ніж у нас. Друга проблема – у нас нераціонально використовують бюджети. У нас низька відповідальність за корупцію. Вирішити ситуацію може лише тотальна боротьба з нею. У порівнянні з країнами Європи, ми не набагато відстаємо у кваліфікації кіберфахівців, але через низьку відповідальність за недбале ставлення до безпеки та високий рівень корупції стаються подібні інциденти зі зламами", - зазначив експерт.
Що відомо
- Фахівці з кібербезпеки спеціалізованого порталу CyberNews зламали 28 тисяч принтерів у всьому світі та надрукували на них інструкцію із захисту від хакерських атак.
- 8 серпня офіс омбудсмана виявив telegram-бот, який поширював персональні дані майже 7 тисяч військовослужбовців.
- 26 липня у РНБО заявили про витік даних з сервісу Cloudflare, який "несе загрозу для безпеки державних та приватних ресурсів". В СБУ заявили, що загрози роботі електронних ресурсів органів державної влади та об’єктів критичної інфраструктури через витік бази даних клієнтів компанії Cloudflare Inc. немає.
- Серед оприлюднених адрес було 45 записів з доменом "gov.ua" та понад 6,5 тисяч із доменом "ua", у тому числі ресурси, що належать об’єктам критичної інфраструктури.
- Відповідний перелік із майже 3 мільйонів сайтів, які використовують сервіс Cloudflare для захисту від DDoS та ряду інших кібератак, фахівці з кібербезпеки РНБО виявили у DarkNet.
- На початку червня 2020 року фахівці РНБО зафіксували на території України новий тип DDoS-атаки, що використовується для блокування мереж провайдерів зв’язку.
- СБУ заявила, що протягом 2019 року нейтралізувала понад 480 кіберінцидентів та кібератак на органи державної влади та об’єкти критичної інфраструктури.
- У грудні 2019 року секретар РНБО Олексій Данілов повідомив, що Україна у листопаді мала справу з 11 хакерськими атаками.