День фейков: как хакеры взломали Нацполицию во время военных учений Украины и США

23 сентября на ряде сайтов региональных представительств Национальной полиции произошел сбой — они "легли" и прекратили работу. Этому предшествовал выход на нескольких областных сайтах полиции новостей, которые оказались фейковыми. Все это произошло во время украинско-американских военных учений. 

Пока над Киевом и еще несколькими городами летали американские военные конвертопланы и посольство США призвало махать им рукой, неизвестные пока хакеры "хоронили" украинских военных и американских советников, "насиловали" при их помощи девушек и "поднимали экологическую катастрофу" на объектах инфраструктуры.

Что произошло

Сбой произошел из-за несанкционированного вмешательства в работу центрального сайта Нацполиции, что, в свою очередь, повлекло "падение" его региональных страниц.

— Сегодня (23 сентября - ред.) в 11:45 зафиксировано несанкционированное вмешательство в работу официального сайта Нацполиции. В связи с этим на некоторых интернет-страницах областных управлений полиции была распространена недостоверная информация, — сообщили в пресс-службе НПУ. 

Злая судьба постигла областные ресурсы НПУ в Киеве, Сумах, Черкассах, Одессе, Житомире, Тернополе, Ивано-Франковске, Луганске, Черновцах, Харькове и на Закарпатье. Страницы выдавали ошибки 502 или 521, которую выдают интернет-ресурсы, когда вебсервер неожиданно обрывает соединение с Cloudflare. Такие ошибки могут свидетельствовать о перегрузке сервера или о том, что система безопасности могла принять подключение от статических IP-адресов за DDoS-атаку.

О чем фейки

“23 сентября в Яворовский центр полиции поступило сообщение о том, что в Международном центре миротворчества и безопасности обнаружены тела трех военных без признаков жизни с многочисленными повреждениями. Как предварительно установили следователи, военные погибли от взрыва снаряда”. Такое сообщение появилось утром на сайте Нацполиции Львовщины. Позже в полиции Львовской области опровергли эту информацию, но сайт Главного управления Нацполиции области по состоянию на 14:00 23 сентября еще не работал.

О хакерской атаке на сайт также сообщила полиция Ровно. Там неизвестные опубликовали информацию о выбросе радиоактивных веществ на Ровненской АЭС и введении в городе Вараш режима чрезвычайной ситуации. Более того, в данном случае одинаковые фейки появились сразу на сайтах мэрии Вараша и облполиции. В тексте "новости" военные учения названы "учение", а городской совет Вараша - "Варашская городская дума", что выдает принадлежность автора к плохим знатокам языка и государственного устройства Украины.

“23 сентября в ходе проведения плановых антитеррористических учений (в рамках учения Rapid Trident-2020) на 3-м энергоблоке Ровенской АЭС произошло кратковременное обесточивание станции, в том числе отказ резервных источников электроснабжения. Это привело к выбросу радиоактивных веществ (может составлять до 10% от выбросов при аварии на Чернобыльской АЭС) в окружающую среду, в том числе утечки теплоносителя первого контура реакторной установки в реку Стырь. Обеспокоены такой ситуацией, Варашская городская дума приняла решение о введении режима чрезвычайной ситуации по всей территории района и проведении добровольной эвакуации жителей 30-километровой зоны вокруг АЭС".

На Херсонщине, где продолжается активная фаза учений и куда 23 сентября приехал президент Зеленский, полиция, якобы, выясняла "обстоятельства гибели американских военных советников".

"Полиция Херсонщины опровергает информацию. В 11:45 на официальном сайте ГУНП в Херсонской области появилась информация "На Херсонщине полиция выясняет обстоятельства гибели американских военных советников". Официально сообщаем, что данная информация является фейком и не соответствует действительности", – написала в Facebook пресс-служба Нацполиции Херсонской области. 

В то же время в Виннице задержали американского военного за изнасилование 16-летней винничанки". Соответствующее сообщение появилось на сайте Винницкой полиции и позже было опровергнуто.

"В Виннице полиция задержала американского военнослужащего, которого подозревают в изнасиловании 16-летней девушки. По предварительной информации следствия, злоумышленник, воспользовавшись отсутствием родственников девушки, заманил ее в туалет и изнасиловал. Об этом винничанка решилась рассказать дедушке и он сразу позвонил в полицию", – хакеры.

На Николаевщине, тем временем, опровергали сообщения о ДТП между военным автомобилем и микроавтобусом с пятью погибшими.

На странице Николаевской полиции появилась информация о смертельном ДТП с пятью погибшими, что не соответствует действительности. Сейчас работа сайта Национальной полиции на некоторое время приостановлена", — сообщила пресс-секретарь облполиции, извинившись перед СМИ и, заодно, призвав их проверять информацию.

Что говорят эксперты

Кроме короткого сообщения о вмешательстве в деятельность сайта, профильные эксперты Нацполиции молчат целый день 23 сентября. На Ровенщине полиция возбудила дело по факту несанкционированного вмешательства в работу автоматизированных систем, компьютерных сетей или сетей электросвязи (ч. 1 ст. 361 УК Украины). Максимальная санкция – лишение свободы до трех лет.

По данным источника “Суспільне”, искать киберпреступников полиции помогают специалисты из СБУ. Грамматические ошибки и русизмы в фейках косвенным образом выдают их авторов. Тем временем, частные киберспециалисты от дня последней массовой хакерской атаки на ресурсы украинских государственных структур власти указывают на многочисленные факты незащищенности этих ресурсов, однако к ним пока не прислушиваются, 

Директор IT-компании Berezha Security Константин Корсун заявил, что в кибер-комьюнити более двух лет длился такой флешмоб с названием FRD, во время которого украинские специалисты по кибербезопасности находили и обнародовали многочисленные вопиющие факты полной незащищенности государственных информационных ресурсов, связанных с полицией, Академией МВД, атомными станциями, аэропортами – всего более 100 случаев, когда публично выкладывали информацию о практически полной незащищенности. 

— Завершилось это тем, что полиция вместе с СБУ сфабриковала дело против активистов, в феврале этого года у них прошли обыски. Дело до сих пор не закрыли, имущество не вернули, – рассказал Корсун.

По его мнению, "государственная политика в сфере кибербезопасности заключается в тотальном замалчивании проблем, когда государство пытается скрыть свою некомпетентность".

— Чтобы сказать наверняка, каким образом осуществили взлом, нужно расследование, которое должно сделать не МВД, а международная компания, которая после его проведения опубликует отчет именно об этом инциденте. Но я даю 99% вероятность, что этого не будет – чиновники будут все отрицать и принижать значение ситуации", – считает Корсун.

— В Украине до сих пор не существует общей системы кибербезопасности национального масштаба, нет центрального органа, ответственного за кибербезопасность, хотя и существуют отдельные учреждения при СНБО, Госслужбе специальной связи и защиты информации. В основном с 2014 года мы так и остаемся незащищенными. Если у нас до сих пор ничего серьезного и не происходило, то не из-за высокого уровня защиты, а потому, что россиянам пока этого не надо. Все упирается в желание государства-агрессора, у которого есть определенные ресурсы и условные "кибервойска", когда офицеры ФСБ нанимают хакеров-преступников из даркнета, которые выполняют их поручения, – заверил эксперт.

Специалисты хорошие, но задачи не профильные

Корсун положительно оценил уровень специалистов украинской Киберполиции, однако констатировал, что они "часто перегружены не профильными задачами".

— К тому же, они в основном расследуют преступления. Хотя есть и подразделения технического обеспечения, которые занимаются защитой внутренних сетей, к сожалению, их работа почти не пересекается. Несмотря на то, что в киберполиции есть достаточно квалифицированные специалисты, они не вовлечены в обеспечение кибербезопасности. А мир кибербезопасности является очень динамичным — сегодня вы защищены, а завтра появляются новые уязвимости, тактики и методы атак. Кибербезопасность — это постоянный процесс, — отметил Корсун.

Другой эксперт, Виталий Якушев из компании 10Guards отмечает, что одной из причин повторения подобных преступлений, кроме прочего, является низкий уровень ответственности за них в отечественных государственных структурах.

—Вы можете проверить за месяц, кто был наказан за взлом — возможно, кого-то уволят, какого-то системного администратора, но ведь это не его задача. Он поддерживает работу сайта, а не защищает его. Должен быть отдельный ответственный человек. По закону, ответственность должно нести руководство, но какой именно она есть, в законе не прописано – устное предупреждение, увольнение, штрафы. Какого объективного наказания нет, — отметил Якушев.

— Не могу сказать на 100 процентов, каким образом осуществили взлом, но могу предоставить гипотезы: скорее всего, эти взломанные сайты работали на общей платформе – это CMS или движок сайта. Вероятнее всего, либо они не были обновлены, либо вообще были устаревшими и у них была общая уязвимость, которую использовали злоумышленники. После этого использовали тактику deface, когда меняется часть информации на сайте – иногда в него добавляют новости или лозунги, — добавил он. 

Похоже, что это выгодно РФ: у нас учеба, у них учеба

— За киберпреступлением стоят несколько факторов: у кого была мотивация, возможность и инструмент. Если сложить три фактора, похоже что это выгодно РФ – у нас совместные учения с НАТО, у них – в Крыму. Это возможность показать свои "кибермязи". Я думаю, что это действительно либо кибервойска РФ, либо хакеры-активисты, скажем, из тех, кто симпатизирует РФ. Определить, кто это сделал точно — задача даже не киберполиции, а СБУ в сотрудничестве с иностранными коллегами, потому что я считаю, что это – угроза нацбезопасности. А координировать процесс должен Национальный координационный центр по кибербезопасности при СНБО, — считает Виталий Якушев.

— По имеющимся факторам похоже, что атаку осуществили с российской стороны, но надо анализировать все комплексно, чтобы не пропустить какую-то ситуацию. Если все изломы мы будем сбрасывать на кибервойска России то можем потерять ландшафт угроз. Если будем узко смотреть на "кто атакует", то потеряем часть "как атакует". Когда у нас низкий уровень защиты, взломать госресурс может даже школьник из Ирана, как это было несколько лет назад, который просто нашел уязвимость движка сайта. Это надо тоже учитывать, — добавляет он.

По словам Якушева, Украина имеет достаточно квалифицированных специалистов на профильном, "особенно на частном рынке, однако работать им в полной мере мешает нецелевое использование бюджетных средств и коррупция.

— Госресурсы ломают и в США, и в Европе. Но на защиту тратят больше ресурсов, к тому же там более жесткая ответственность, чем у нас. Вторая проблема – у нас нерационально используют бюджеты. У нас низкая ответственность за коррупцию. Разрешить ситуацию может лишь тотальная борьба с ней. По сравнению с странами Европы, мы не намного отстаем в квалификации киберспециалистов, но из-за низкой ответственности за халатное отношение к безопасности и высокий уровень коррупции происходят подобные инциденты с изломами, — отметил эксперт.

Что известно.

• Специалисты по кибербезопасности специализированного портала CyberNews взломали 28 тысяч принтеров во всем мире и напечатали на них инструкцию по защите от хакерских атак.
• 8 августа офис омбудсмена обнаружил telegram-бот, который распространял персональные данные почти 7 тысяч военнослужащих.
• 26 июля в СНБО заявили об утечке данных с сервиса Cloudflare, который "несет угрозу для безопасности государственных и частных ресурсов". В СБУ заявили, что угрозы работе электронных ресурсов органов государственной власти и объектов критической инфраструктуры из-за утечки базы данных клиентов компании Cloudflare Inc. нет.
• Среди обнародованных адресов было 45 записей с доменом "gov.ua" и более 6,5 тысяч с доменом "ru", в том числе ресурсы, принадлежащие объектам критической инфраструктуры.
• Соответствующий перечень из почти 3 миллионов сайтов, которые используют сервис Cloudflare для защиты от DDoS и ряда других кибератак, специалисты по кибербезопасности СНБО обнаружили в DarkNet.
• В начале июня 2020 года специалисты СНБО зафиксировали на территории Украины новый тип DDoS-атаки, используемый для блокирования сетей провайдеров связи.
• СБУ заявила, что в течение 2019 года нейтрализовала более 480 киберинцидентов и кибератак на органы государственной власти и объекты критической инфраструктуры.
• В декабре 2019 года секретарь СНБО Алексей Данилов сообщил, что Украина в ноябре имела дело с 11 хакерскими атаками.