Главные украинские госсайты работали на CMS, созданной выходцем из России, — и забыли ее обновить

Пока чиновники не представили официальную версию о том, как именно хакерам в ночь на 14 января удалось взломать сразу множество украинских госсайтов. Тем временем эксперты по кибербезопасности, профильные журналисты и рядовые «диванные эксперты» в соцсетях выдвинули массу собственных теорий. Журналистка Highload разбиралась в ситуации.

Что происходит

Сегодня ночью, 14 января, около 2:00 в результате кибератаки перестали работать свыше десяти сайтов госструктур. В 9:50 пресс-служба Минцифры сообщила, что работа большей части атакованных госресурсов уже возобновлена. На данный момент (16:30) сайт Минагро не работает, а на сайте Фонда соцзащиты людей с инвалидностью продолжает висеть дефейс (картинка со зловредным содержимым).

Киберполиция пишет, что открыто уголовное производство по статье 361«Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи», но о предполагаемых причинах взлома и подозреваемых пока ничего не говорит.

Специализирующийся на вопросах кибербезопасности журналист из Сан-Франциско Ким Зеттер попытался разобраться, по какой причине стал возможен массовый взлом. Вот что он пишет в Twitter:

«Источники сообщают мне, что около 15 сайтов в Украине, использующих систему управления контентом October, были дефейснуты, в том числе Министерство иностранных дел, кабинет министров, Министерство образования, Служба по чрезвычайным ситуациям, Казначейство, Охрана окружающей среды. Злоумышленники, по-видимому, использовали это».

Что говорят местные эксперты

Они пришли к такому же выводу.

«Предварительно можно сказать, что точка входа была через уязвимость в October CMS. То, что получены доступы к контенту, думаю, не особо критично, но злоумышленники могли получить доступы и к реестрам. Тогда не известно, что могло бы произойти», — рассказал пентестер Сергей Сарайчиков в комментарии Highload.

CTO Octava Defence Александр Атаманенко, который также специализируется на вопросах информационной безопасности, отметил, что если ряд сайтов получили одинаковый дефейс, значит, злоумышленники как минимум получили доступ к административной панели сайта.

«Был ли этот доступ на сервер или к CMS-системе — видно тем, кто этими системами управляет. По непроверенным сведениям, были взломаны CMS-системы, — говорит Александр. — Картинка достаточно типичная: ежедневно сайтов ломается вагон и маленькая тележка. Очень часто проблема в том, что разработчики не успевают или не уделяют достаточно внимания тому, чтобы обновить своевременно свои системы, убрать модули, которые имеют незакрытую уязвимость. Часто процессы растягиваются на месяцы, и даже годы».

Он также уточнил, что, по неподтвержденной информации, хакеры воспользовались незакрытой уязвимостью: происходящее выглядит как типичный сценарий для такой ситуации.

«Мы в своей практике сталкивались с подобными историями. Дальше все зависит от того, как реагируют специалисты, как все на сайтах изначально построено, был ли с этих сайтов доступ к целевым системам или нет, своевременно ли отсекалась угроза… Важно не то, что взломали, а чтобы вовремя отреагировали на проблему, — считает СТО. — Вопросы кибербезопасности всегда серьезные. Тем более сейчас активно идет переход государства в цифровую форму».

Подтверждение теорий

Сайт CERTсайт правительственной команды реагирования на компьютерные чрезвычайные события в Украине признал, что специалисты не исключают использование злоумышленниками уязвимости October CMS, а также дал ссылки на СVE Details и Github. Кроме того, пользователям предоставили развернутые рекомендации, как действовать, если ваш сайт взломали через CMS.

Взлом — политический ход?

Highload также обратился за комментарием к пресс-секретарю общественной организации «Украинский киберальянс» Андрею Барановичу. Вот, что он нам рассказал:

«На большинстве госсайтов — а их около 70 — стояла October CMS. В этой CMS в апреле 2021 были найдены и исправлены несколько уязвимостей, которые позволяли удаленному пользователю получить права администратора. Они были исправлены, об уязвимостях сообщили публично еще летом, тем не менее за те месяцы, которые прошли, никто эти сайты не обновил и не перенастроил. Именно поэтому произошла вот такая атака».

Он отметил, что такая ситуация недопустима и наглядно показывает, что декларируемые подходы к кибербезопасности просто не работают. Ведь если бы взломали один сайт, все можно было бы списать на забывчивость или невнимательность. Но таких сайтов 70.

«Касательно картинки, которая была «вывешена» на сайтах (дефейс) — я думаю, цель была именно в ней. Хакеры хотели вывесить это сообщение, — считает Андрей Баранович. — Возможно, чтобы поссорить Украину с Польшей. Мне кажется, устроить такую акцию могло бы быть выгодно или России, или Беларуси».

Что такое October CMS

October CMS — система управления содержимым сайта с открытым исходным кодом, написанная на PHP на базе компонентов фреймворка Laravel. Это вторая по популярности CMS на PHP по числу оценок на GitHub. Как правило, ее высоко оценивают за простоту в изучении и чистую кодовую базу.

По данным ресурса BuiltWith, October CMS наиболее популярна в США и в России. А вот в Украине эта CMS распространена гораздо меньше — здесь на ней работают всего 386 сайтов (из 59,2 тыс. по всему миру).

Кстати, один из создателей October CMS — выходец из России Алексей Бобков (второй — австралиец Сэмюэл Джорджес). Как рассказывал сам Алексей Бобков в интервью ресурсу Laravel.ru, он уже давно переехал: в конце 2008 года он запустил собственный IT-проект и через пару лет смог иммигрировать в Канаду, где сейчас и проживает («развивать свою компанию в России не хотелось»).  

Мы отправили свои вопросы об уязвимости October CMS Алексею Бобкову через соцсети и обновим текст, когда получим ответ.