Хакеры взломали украинские СМИ: почему им это удалось и как украинцам не стать жертвами атак

18 февраля украинские интернет-СМИ "Украинская правда", "Апостроф", Liga.net и "Телеграф" сообщили о кибератаке, в результате которой были опубликованы фейковые новости о событиях в Авдеевке. Специалист по кибербезопасности Константин Корсун в комментарии Фокусу рассказал, как это могло произойти и можно ли предотвратить подобные случаи в будущем.

Государственная служба специальной связи и защиты информации официально заявила, что украинские медиа атаковали хакеры, и якобы именно они разместили фейковые новости. Из-за этого представители "Украинской правды", Liga.net, "Апострофа" и "Телеграфа" обратились в Правительственную команду реагирования на компьютерные чрезвычайные события (CERT-UA), которая сейчас проводит расследование.

Однако эксперт видит хронологию событий такой: сначала хакеры взломали аккаунт "Украинской правды" в соцсети "Х" (Twitter) и опубликовали фейковые новости, которые другие издания быстро перепубликовали на своих страницах. Через некоторое время пострадавшее СМИ восстановило доступ к аккаунту, журналисты спохватились и удалили публикации.

"Потом все вместе решили написать заявления в CERT-UA о "хакерской атаке" и "наш сайт взломали". Хотя, судя по доступным данным, скорее всего взломан был только один аккаунт одного издания в сети Х. Возможно, на самом деле все было как-то иначе, и сначала хакнули сайт, с которого фейки были распространены в Х, как утверждает, например, Liga.net, но в публичном доступе более подробной информации об этом инциденте практически нет: молчат и издания, и госструктуры. И вряд ли что-то расскажут, — отметил Константин Корсун, — Если сайты изданий действительно хакнули — буду ждать возбуждения уголовных производств по ст. 361 УКУ. Но толстый червь скептицизма внутри меня нагло прогнозирует, что таких производств не будет. И он же задает вопрос: если сайт издания уязвим к взлому — можно ли ему доверять в дальнейшем?".

Киберспециалист добавил, что инцидент довольно мелкий, но указывает на значительную проблему: недостаточный уровень кибер-гигиены даже в популярных украинских СМИ, которые являются особенно ценной мишенью для вражеских атак. По его мнению, журналисты не использовали двухфакторную аутентификацию для аккаунтов в X или же установили слабый пароль. Вероятно, человек, который ведет аккаунт "Украинской правды", просто не знал правил кибербезопасности, потому что ему никто не рассказал о них.

"Я понимаю, что у изданий нет средств на нормальных кибер-специалистов. Да и специалистов таких сильно не хватает в Украине: кто-то за границей, кто-то в армии, все остальные — в дефиците. Понимаю, что есть проблемы даже нормально платить журналистам. Но ведь провести несколько тренингов по кибер-гигиене стоит на порядок меньше, чем платить штатному кибер-специалисту. Пусть не все станет понятно с первого раза, пусть не все рекомендации будут выполняться, но люди хотя бы будут знать о возможных рисках. И это прям сильно повышает уровень кибербезопасности всей организации, — подчеркнул Константин Корсун, — Вывод по всей ситуации прост: широкомасштабная информационная война продолжается, и кибератаки являются одним из ее элементов. Эффективным методом противодействия является обучение персонала. Все. Поэтому расходимся и идем искать курсы кибер-гигиены".

Глава ОО "Украинский Киберальянс" Артем Карпинский также считает, что с высокой вероятностью произошла фишинговая атака против пользователей или SMM-специалистов изданий, которая позволила злоумышленникам завладеть паролем от аккаунта. При отсутствии второго фактора аутентификации это позволило получить доступ как к почтовому ящику, куда должны были поступать сообщения о подозрительной аутентификации в аккаунте Х, так и к самому аккаунту Х.

"Имел место человеческий фактор, и недостаточный уровень защищенности аккаунта — повторное использование паролей/парольных фраз на нескольких аккаунтах, отсутствие второго фактора аутентификации, недостаточный уровень осведомленности пользователя. Также, не следует исключать возможность использования злоумышленниками вредоносного кода, с функционалом похищения паролей — form grabber/password stealer", — прокомментировал Артем Карпинский Фокусу.

Что киберэксперт посоветовал делать, чтобы уберечься от подобных атак:

• использовать сложные пароли, желательно — парольных фраз;
• не пытаться повторно использовать одинаковые пароли или парольные фразы для многих аккаунтов в социальных сетях, финансовых приложениях, рабочих аккаунтах;
• обязательно настроить второй фактор аутентификации, это могут быть OTP (одноразовые пароли), генерируемые в специальных приложениях, доступных для загрузки в, например, AppStore и GooglePlay — Google Authenticator, или Microsoft Authenticator, или аутентификация через SMS-сообщения;
• идеальным вариантом является использование аппаратных ключей аутентификации. Например, YubiKey и их аналоги.
• иметь критическое мышление и осведомленность о действиях злоумышленников во время фишинговых атак против пользователей, таких как электронные сообщения в мессенджерах или электронной почты.

Отметим, что на корпоративную электронную почту Фокуса накануне поступало много писем, скорее всего, фишинговых — примерно по 3–5 в сутки. Сообщения содержали различные просьбы и предложения, которые провоцировали перейти по ссылке: предлагали сделать публикацию, рассказывали об ошибке в коде сайта, а однажды даже требовали вознаграждение за найденный "баг". Вот один из примеров:

Напомним, 12 декабря мобильный оператор "Киевстар" пострадал от кибератаки. Абоненты более суток оставались без связи и интернета, как мобильного, так и домашнего.