Эксперт объяснил, зачем хакеры "подставили" патриарха Кирилла после взлома РПЦ

Недавно хакеры взломали сайты Русской православной церкви и "Газпрома", подделав страницы. Эксперт по кибербезопасности Константин Корсун на своей странице в Facebook раскрыл главную цель таких атак.

Как писал Фокус, неизвестные авторы опубликовали на сайте обращение к христианам от лица РПЦ, в котором осудили действия московского патриарха Кирилла, поддерживающего войну в Украине, и призвали остановить вторжение ВС РФ на территорию страны. Константин Корсун обратил внимание, что текст получился несколько грубым, перегруженным и не придерживается обычного стиля РПЦ, а изображение главы церкви с пентаграммой, знаком Антихриста, окончательно выдает подделку.

"Хорошая попытка неизвестных патриотов, но немного не хватило креативности в подготовке текста дефейса", — подчеркнул специалист.

Дефейс — это тип хакерской атаки, при которой одна страница веб-сайта заменяется на другую, иногда фейковая информация публикуется от лица какого-то лица или организации. По словам Корсуна, размещение картинки является лишь заключительным этапом кибер-операции, словно вишенка на торте, ведь главная задача — получить доступ к управлению сайтом. Часто для этого необходимо получить права администратора в локальной сети жертвы.

"Именно в этом состоит мастерство хакерской команды. И эту часть работы кибер-патриоты сделали с отличием, вопросов нет", — признал он.

2 апреля хакерская группа Anonymous заявила о взломе серверов РПЦ, который может быть связан с последующим дефейсом. "Слитые" электронные письма предоставили некоторым исследователям и журналистам. По информации Константина Корсуна, в переписке не было ничего особенно ценного, однако есть много интересных моментов:

• раскрывается иерархия священников РПЦ, имена руководителей и бухгалтеров, режим работы, график отпусков;
• лица, имеющие доступ к сети и отвечающие за наполнение сайта;
• пароли и реквизиты доступа ко внутренним ресурсам, предоставленные подрядчикам (используются для атак типа supply-chain).

"Похоже, что качественно проведенный анализ переписки рпц-офицеров позволил неизвестным хакерам получить доступ к системе контент-менеджмента сайта.

Что еще раз доказывает: слив "неважной и несекретной информации" может иметь тяжелые последствия – если пора заняться основательным анализом слитного найдут серьезные чуваки. Квалифицированные и высокомотивированные", — предположил эксперт.

Недавно похожие атаки произошли на сайтах производителя военных самолетов "Сухой" и Липецького механического завода. Константин Корсун рассказал, что дефейсы стали одним из самых зрелищных и эффективных методов ведения войны в киберпространстве, ведь могут дезинформировать и вызвать панику у пользователей. Иногда они требуют много времени и сложной подготовки, а фейковые страницы быстро удаляют, усиливая защиту сайтов.

Размещение собственных публикаций также обычно демонстрирует, что хакеры зашли в тупик и больше ничего не могут сделать с веб-ресурсом. Во время успешных атак организованные группы не привлекают внимание к взлому, чтобы как можно лучше изучить инфраструктуру, найти побольше ценных данных, лазеек в соседние системы и уязвимостей, позволяющих нанести как можно больший ущерб.

"В условиях массированной кибервойны на тщательный анализ хакнутой системы есть время далеко не всегда, поэтому часто применяется принцип святого Джавелина: "увидел-выстрелил-забыл". То есть нашел уязвимость – проверил возможность дефейса – разместил свой контент – пошел дальше. Так это было в случае с РПЦ или мы еще станем свидетелями повторных атак – увидим", — подитожил Константин Корсун.

Ранее хакеры взломали сайт "Газпрома" и опубликовали статью от имени председателя Алексея Миллера. Авторы от его имени осудили вторжение России в Украину.

Сообщали также, как хакеры Anonymous "слили" данные Липецкого механического завода. Предприятие производит шасси для зенитно-ракетных комплексов ПВО С-300В4 и детали для боевой техники ВС РФ.