Вашу систему взломали. В который раз…

В ночь с 13 на 14 января более 70 правительственных сайтов, в том числе и централизированная база данных МТСБУ электронных договоров ОСАГО, стали жертвами хакерской атаки, а на страницах отдельных взломанных ресурсов появились угрозы в адрес украинцев. Расследованием инцидента занялись Служба безопасности Украины, Госспецсвязи и департамент киберполиции Нацполиции.

На данный момент существует три версии произошедшего:

Устаревшая система

Брешь в системе October CMS, на которой работают сайты украинских министерств и ведомств. Она не обновлялась с мая 2021 года. Часть сайтов ведомств работает на старой версии другой системы – WordPress.

 Взлом инфраструктуры

Госспецсвязь вместе с СБУ и киберполицией выяснили, что с большой вероятностью произошла так называемая supply chain attack, то есть атака через цепочку поставок. Сообщается, что злоумышленники сломали инфраструктуру коммерческой компании, которая имела доступ с правами администрирования к пострадавшим в результате атаки веб-ресурсам.

Вредоносное ПО

Центр анализа угроз Microsoft Threat Intelligence Center (MSTIC) заявил, что обнаружил вредоносное программное обеспечение на нескольких украинских сайтах, принадлежащих государственным учреждениям и организациям. Об этом корпорация Microsoft сообщила в своем блоге. Как отмечается, вредоносное программное обеспечение впервые зафиксировано в Украине 13 января 2022 года. ПО “выглядит как вирус-вымогатель, но без механизма выкупа” и используется, чтобы вывести из строя атакуемые системы, а не для вымогания выплат. В настоящее время специалисты Microsoft зафиксировали признаки кибератак в десятках систем, которые охватывают несколько базирующихся в Украине государственных, некоммерческих и информационно-технологических организаций. Жертвами вредоносных программ стали также сайты, связанные с критической инфраструктурой, в том числе медицинские учреждения. Сообщается, что количество атакованных сайтов может возрасти.

Сейчас отрабатывается версия комбинации трех векторов атаки: supply chain attack и эксплуатация уязвимостей OctoberCMS и Log4j. Также фиксируются DDOS-атаки на ряд пострадавших органов государственной власти.

Повторяем основы

Одна из недавних масштабных хакерских атак в Украине произошла в 2017 году и навела много шума. 27 июня вирус Petya.A парализовал сайты многих украинских компаний и органов власти. В Украине вирус заразил компьютеры ряда министерств, энергетических компаний, банков, СМИ, мобильных операторов, сетей заправок, киевского аэропорта “Борисполь” и киевского метро. Не работал и официальный сайт Кабинета Министров Украины.
СБУ обвинила российские спецслужбы в причастности к этой атаке. Ссылаясь на данные, СБУ указывала на те же хакерские группировки, которые в декабре 2016 года атаковали финансовую систему, объекты транспорта и энергетики Украины.
В 2016 году несколько украинских областных энергораспределительных компаний стали жертвами кибератаки, приведшей к отключению света у 80 тыс. потребителей.
Наиболее масштабным по последствиям оказалось нападение на “Прикарпатьеоблэнерго”. Тогда в течение нескольких часов были обесточены десять районов Ивано-Франковской области.
Тогда же Государственная служба спецсвязи и защиты информации сообщила о попытке “инфицировать” компьютеры международного аэропорта “Борисполь” тем же вирусом, что использовался при нападениях на энергокомпании.
В декабре 2016 года кибернападению подверглись государственное казначейство, министерство финансов и пенсионный фонд. Из-за них на несколько дней заблокированы бюджетные платежи на сотни миллионов гривен, а сайты минфина и казначейства не работали.
Казалось бы, все подсчитали убытки, поняли серьезность ситуации и должны были принять меры, но недавние атаки показали, что украинским организациям все же нужно уделить кибербезопасности больше внимания.

Снижаем риски программных атак. Срочно!

Несмотря на то, что у нас есть центры и доктрины кибербезопасности, само обеспечение безопасности работы интернет-ресурсов оставляет желать лучшего, потому что подобные инциденты происходят постоянно.

Для снижения риска программных атак требуется несколько отличных инструментов. Среди вариантов:

• Инвестируйте в аналитиков SOC (центр управления безопасностью). ИТ-специалисты внимательно изучат инфраструктуру кибербезопасности вашего бизнеса, чтобы выявить проблемы или недостающую защиту. Они также будут реагировать на угрозы, анализировать последствия любых атак и работать над улучшением вашей системы.
• Имейте планы действий в чрезвычайных ситуациях/модели угроз с учетом всех сторонних поставщиков. У вас всегда должен быть план действий в чрезвычайных ситуациях на случай, если какой-либо сторонний поставщик будет скомпрометирован или поставит под угрозу вашу систему. Модель угроз может помочь визуализировать потенциальные угрозы, которые могут исходить от поставщиков.
• Сделайте кибербезопасность регулярной частью тренингов в своей компании. Каждый сотрудник должен понимать важность кибербезопасности и свою роль в обеспечении общей кибербезопасности компании.
• Применяйте средства контроля доступа поставщиков. Ограничение их доступа к вашей системе – отличный способ уменьшить потенциальные угрозы. Другими словами, позволяйте получать доступ только к тому, что нужно для работы.
• Учитесь на чужих ошибках и действуйте.

В свою очередь IT-Solutions готова помочь в разработке и реализации стратегии безопасности Вашей компании, от написания политик безопасности до построения полноценного и рабочего SOC.