1

Тема: Дефейс сайтів державних органів

У ніч з 13 на 14 січня було здійснено дефейс близько 15 сайтів державних органів, зокрема МЗС, МОН, Мінагро та інші. На головній сторінці цих сайтів хацкери з рф (або, можливо, рб) розмістили таке повідомлення:
https://replace.org.ua/uploads/images/5401/b53fb932d2fb5b8411da6e28228ee1de.jpg

Місцезнаходження, вказане в exif даних зображень - якась парковка в Варшаві.
CERT не виключає використання вразливості October CMS CVE-2021-32648 (Publish Date : 2021-08-26). Витоку даних не було.

2

Re: Дефейс сайтів державних органів

Витоку даних не було.

На думку офіційного Києва, який погодиться на будь-які умови "щоби не розпалювати ворожнечу". Чи ви гадаєте, що отримати доступ до даних можна лише, якщо маєш кілька ключів, як це зроблено для запуску торпед на підводних човнах? Навіть цілком комерційно успішний бізнес Нова Пошта була атакована гакерами, які одержали доступ до бази. Про недієздатний український уряд з наскрізь збитковими держпідприємствами взагалі смішно говорити.

3

Re: Дефейс сайтів державних органів

Цікаве до теми:

"Польські" хакери, які зламали сайт МЗС, лишили "послання" Україні ламаною польською мовою

Подякували: FakiNyan, 0xDADA11C72

4

Re: Дефейс сайтів державних органів

Ну, як на те, то російською і українською там теж помилки.
До речі, а що це за тризуб такий потрійний? І ще - кримські татари (бо мусульмани) і москалі (не маю цьому задовільного пояснення) нам закидають вживання свинини, але поляки хіба теж?

5

Re: Дефейс сайтів державних органів

koala написав:

Ну, як на те, то російською і українською там теж помилки.
До речі, а що це за тризуб такий потрійний? І ще - кримські татари (бо мусульмани) і москалі (не маю цьому задовільного пояснення) нам закидають вживання свинини, але поляки хіба теж?

Скажіть, як на вашу думку, польська літературна мова добре функціонує? Просто грамотною літературною українською мало хто здатний писати(навіть носії української), питомі носії російської залишилися лише в дєрєвнях і ті з літературною нормою не дружать. А як з цим в поляків?

6

Re: Дефейс сайтів державних органів

0xDADA11C7 написав:
koala написав:

Ну, як на те, то російською і українською там теж помилки.
До речі, а що це за тризуб такий потрійний? І ще - кримські татари (бо мусульмани) і москалі (не маю цьому задовільного пояснення) нам закидають вживання свинини, але поляки хіба теж?

Скажіть, як на вашу думку, польська літературна мова добре функціонує? Просто грамотною літературною українською мало хто здатний писати(навіть носії української), питомі носії російської залишилися лише в дєрєвнях і ті з літературною нормою не дружать. А як з цим в поляків?

Є такі речі, котрі відчуваються шкірою, літературна норма до сраки. Коли був російськомовним етнічним українцем, мене дрочили слова на кшталт ""свьокла", "вєтошь" і т.п. -- у російській мові!

Гадаю, в поляків таким шкірним чуттям користується кличний відмінок. Ну й синтаксичні та фразеологічні конструкції (котрі наводяться у статті) теж зазвичай цього штибу, треба бути native, аби їх відчувати.

Подякували: 0xDADA11C7, FakiNyan2

7

Re: Дефейс сайтів державних органів

Поляк ніколи не скаже за інші історичні землі, там будуть східні креси.

Подякували: 0xDADA11C7, machinegun2

8

Re: Дефейс сайтів державних органів

bebyk написав:
0xDADA11C7 написав:
koala написав:

Ну, як на те, то російською і українською там теж помилки.
До речі, а що це за тризуб такий потрійний? І ще - кримські татари (бо мусульмани) і москалі (не маю цьому задовільного пояснення) нам закидають вживання свинини, але поляки хіба теж?

Скажіть, як на вашу думку, польська літературна мова добре функціонує? Просто грамотною літературною українською мало хто здатний писати(навіть носії української), питомі носії російської залишилися лише в дєрєвнях і ті з літературною нормою не дружать. А як з цим в поляків?

Є такі речі, котрі відчуваються шкірою, літературна норма до сраки. Коли був російськомовним етнічним українцем, мене дрочили слова на кшталт ""свьокла", "вєтошь" і т.п. -- у російській мові!

Гадаю, в поляків таким шкірним чуттям користується кличний відмінок. Ну й синтаксичні та фразеологічні конструкції (котрі наводяться у статті) теж зазвичай цього штибу, треба бути native, аби їх відчувати.

в мене таке з іменами штибу Саша, Ваня, Міша і т.д.  :!  :!

Подякували: karmeljuk1

9

Re: Дефейс сайтів державних органів

Скажіть, як на вашу думку, польська літературна мова добре функціонує? Просто грамотною літературною українською мало хто здатний писати(навіть носії української), питомі носії російської залишилися лише в дєрєвнях і ті з літературною нормою не дружать. А як з цим в поляків?

Хто володіє польською - велкам шукати в ютубі "matura to bzdura" (дослівно - "атестат про середню освіту - це дурниця"), там на вулицях ловлять пересічних молодих поляків і просять відповісти на елементарні запитання зі шкільної програми; результати дуже різні; підозрюю що викладають в ютуб лише найкумедніші випадки; в той же час якщо в наших містах знімати щось подібне, то думаю що результат буде не набагато кращим. Що ж до вимови, то мав можливість переконатися в польських Карпатах, що говорять "як попало", і навіть мені, іноземцю, було очевидно що людина робить помилки у власній мові; декілька разів навіть мав наглість запитати прямо, то люди визнали що це невірно так казати, але кажуть так бо звикли.

10

Re: Дефейс сайтів державних органів

частина постраждалих систем була атакована, використовуючи CVE-2021-32648

11

Re: Дефейс сайтів державних органів

Спитав на Quora - кажуть, ніби ніяких стереотипів про сало і українців у сучасних поляків немає. Є про робочих мігрантів та Бандеру, але не про свиней.

12

Re: Дефейс сайтів державних органів

Ну то ясно, поляки ж не мусульмани, не приховані мусульмани і не мусульманські підлеглі.

13 Востаннє редагувалося frz (14.01.2022 18:15:01)

Re: Дефейс сайтів державних органів

але не про свиней

Моя інформація від моєї покійної бабусі може комусь не сподобатися, крім того цій інформації вже ~80 років. Отже, в часи коли Львів був під владою Польщі і поляки з українцями ходили разом до тієї ж сільської школи (відповідно до тодішнього законодавства, в залежності від того кого з національностей було більше в населеному пункті, тією мовою й викладалися предмети), різниця була дуже сильно видимою, скажімо на урок музики деякі українці забігали і одразу ж гналися до піаніно, стукаючи клавіші як попало. Таких називали "kabani". Якщо що, моя бабуся була українкою, тож жодної суб'єктивності передати не могла...

14

Re: Дефейс сайтів державних органів

Дякую, що зберегли свідчення бабусі та розповідаєте це нам. З іншого боку, поляків які це пам'ятають, вже майже не лишилося нікого, а передача такої інхвормації майже безглузда, бо сучасних українсько-польських шкіл нема (окрім деяких прикордонних польських міст штибу Перемишля), тому і практики називати українців так нема. Можливо поляки мають що закидати українцям (їхнє існування, наприклад), але саме шкільне прізвисько, швидше за все, пішло у забуття.

15

Re: Дефейс сайтів державних органів

Та всім очевидно, що це все руснява тема. Свинособаки звикли звинувачувати інших в тому, що самі ж і роблять, і ким самі ж і є.

Подякували: machinegun, 0xDADA11C7, koala, Torbins, HetmanNet5

16

Re: Дефейс сайтів державних органів

не факт, що там ще при розробці не було закладено бекдору

17

Re: Дефейс сайтів державних органів

Мені здається, що у російських хакерів для таких випадків мають бути заготовані зеро-деї. Тому навіть добре налаштований захист і усі найсвіжіші оновлення не гарантують повної безпеки.

18

Re: Дефейс сайтів державних органів

Зеродеї можна купити, їх навіть заготовляти заздалегідь не обов'язково.

19

Re: Дефейс сайтів державних органів

cheappi386 написав:

не факт, що там ще при розробці не було закладено бекдору

швидше не видалили обліковки розробників після передачі прав на ресурс, тож злам розробників дав змогу здобути інформацію про всі типові облікові записи які вони створюють при розробці.

20 Востаннє редагувалося dot (16.01.2022 11:51:26)

Re: Дефейс сайтів державних органів

Tut je Tvytyrsjka nytka vid Tokara. Ne pryxyljnyk joho, bo koly robyv pomylky, prytcomu buvaʼ hetj tupi, to za nyx ne vybatcav sja. ale naj bude. Komu ljinj perexodyty, zrobyv vytjahy vidty. Tomu, uvaha!, vnyzu tcymalo tekstu i kartynok (rignymy movamy: anqlijsjkoju, moskovsjkoju, poljsjkoju).

Прихований текст

Хакери замінили стартові сторінки погрозами українською, російською та польською мовами, згадали про Волинь, УПА, Галичину й Полісся, щоб підозра впала на Польщу. Але ця версія сумнівна, в Exif-даних єдині дані - це GPS-координати, що вказують... на Варшаву. Занадто тонко.

https://pbs.twimg.com/media/FJKZwDxXoAsPavK?format=png&name=small

Журналісти польского видання Wprost заявили, що польська версія написана з помилками, скоріш за все, її писали через автопереклад люди, які не знають польської.

https://pbs.twimg.com/media/FJKZ1p3XwAM8YXb?format=png&name=orig

В українській версії теж помилки: “ждите худшего” треба перекласти як “чекайте на найгірше” (рос. "ждите худшего"). Українську версію теж писали перекладачем із російської. Тож текст писали або російськовомні люди, або такі, що робили помилки на рівні шкільної програми.

НБУ заявив про атаку, що почалася ще раніше, але її, за даними банку “було нейтралізовано”. Це викликає деякі сумніви, і я далі поясню, чому. Зламані сайти працювали на системі керування Ocbober CMS, це розробка російського програміста Олексія Бобкова (з 2012 живе в Канаді)

https://pbs.twimg.com/media/FJKaTdsWQAUFO6R?format=png&name=orig

Колись CMS мала відкритий код, з квітня 2021 перейшла на закритий. У травні 2021 (це важливо) в її коді знайшли баг: через відновлення пароля можна було зайти до панелі й отримати контроль над сайтом. Сайт НБУ працює на іншій системі, і скоріш за все, саме тому його не зламали.

https://pbs.twimg.com/media/FJKaoPxXIAERxKh?format=jpg&name=orig

Всі зламані сайти створювалися київською компанією Kitsoft, якою керує Олександр Єфремов (серед цінностей компанії іронічно вказано “не боїмося помилок”).

https://pbs.twimg.com/media/FJKawATWUAILPRu?format=jpg&name=orig
https://pbs.twimg.com/media/FJKaxFXX0AIPZkq?format=png&name=orig

У листопаді 2021 Kitsoft виграла тендер на розробку Єдиного порталу електронних послуг для Дії, за це ми заплатимо 38 млн грн. В тендері брало участь дві компанії, Кітсофт запропонував ціну на 100 тис. меншу за іншого учасника.

Чи можна було уникнути зламу? Якби ті, хто займався підтримкою сайтів, вчасно їх оновили, цього би не сталося. Оновити сайт можна за кілька хвилин. Більш того, при правильному налаштуванні серверу, навіть неоновлену версію сайту зламати таким чином майже неможливо.

Схоже, що після створення, міністерства не замовляли підтримку сайтів, тож вони просто не оновлювалися. Чи є альтернативи, не пов’язані з Росією? Так, і чимало. Зокрема, простий, безкоштовний та популярний Wordpress, на якому працює більшість сайтів планети.

https://pbs.twimg.com/media/FJKbVLyXMAIuvrF?format=png&name=orig
https://pbs.twimg.com/media/FJKbWfYXMBELshX?format=png&name=orig

З квітня 2021 року користування російською October платне, ліцензія на один сайт коштує 9$ на рік (20 грн/місяць). Сайти без ліцензій теж працюють, але оновлюватися не можуть. Зате з ліцензією, сайт може оновлюватися автоматично.

https://pbs.twimg.com/media/FJKbdbSWUBAJrRp?format=jpg&name=orig

Схоже, що державники зекономили, ліцензію не купували і систему не оновили. Бобков продає за 150$ ліцензію на необмежену кількість сайтів, тож 3000 грн могли врятувати сайти міністерств.

Я не дивуюся такому підходу після того, як міністр цифрової трансформації Федоров заявив, що роль кібербезпеки "трохи перебільшена".

https://pbs.twimg.com/media/FJKbqXHX0AUQPL1?format=png&name=orig

Мета такої атаки виключно репутаційна - показати, через яке місце створюються та підтримуються сайти наших міністерств, зокрема, тих, які мали би відповідати за цифровізацію країни.

https://pbs.twimg.com/media/FJKbuGTWYAUhknK?format=png&name=orig

У системі Дія є дані мільйонів українців. А розробкою рішень для неї досі займається та ж компанія Кітсофт, що віддає перевагу російським рішенням на 9-му році війни з Росією. У мене все.

З розслідування Microsoft стало відомо, що атаку було використано для прикриття більшого кібернападу, який ймовірно ще триває. Поки невідомий реальний масштаб втрат, але заяви влади про те, що дані громадян не було втрачено, виглядають передчасними.

Технічні деталі розслідування є в блозі Microsoft.

Видання @TextyOrgUa опублікувало скорочену адаптацію українською.

Атака ймовірно проводилася через поставика ПЗ, вона схожа на атаки 2017 року. На пк жертви переписується MBR (master boot record), з'являється повідомлення про шифрування і вимога викупу ($10к). Але немає id пристрою, отже, ймовірно, що й механізму відновлення роботи ПК немає.

Атака проводиться в два етапи: перший (stage1.exe) описано вище, він показує таке повідомлення, що очевидно є неправдою, бо щоб відновити дані, треба хоч якийсь ідентифікатор пристрою.

https://pbs.twimg.com/media/FJNsXZFXwAEhq1k?format=jpg&name=orig

Другий етап: файл stage2.exe завантажує з інтернету додатковий файл, який після запуску знаходить всі файли з такими розширеннями (на скріні), замінює їхній контент на один і той же набір символів (розмір 1Мб) і перейменовує випадковим чином. Ця частина зламу ще досліджується.

https://pbs.twimg.com/media/FJNtsziXwAEGGqZ?format=jpg&name=orig
https://pbs.twimg.com/media/FJNts9AXoAIQrPm?format=jpg&name=orig

Microsoft поки не змогли пов'язати атаки з відомими їм групами хакерів, достеменно відомо лише, що атакували державні установи та компанії, що працюють із ними, тут докладніше.

Moglyvi potim onovy.