Експерт пояснив, навіщо хакери "підставили" патріарха Кирила після злому РПЦ

Кирило
Фото: РИА Новости | Московський патріарх РПЦ Кирило

Дефейси є одним із найефективніших типів атак під час кібервійни, хоча мають низку недоліків.

Нещодавно хакери зламали сайти Російської православної церкви та "Газпрому", підробивши сторінки. Експерт із кібербезпеки Костянтин Корсун на своїй сторінці у Facebook розкрив головну мету таких атак.

Як писав Фокус, невідомі автори опублікували на сайті звернення до християн від імені РПЦ, у якому засудили дії московського патріарха Кирила, який підтримує війну в Україні, та закликали зупинити вторгнення ЗС РФ на територію країни. Костянтин Корсун звернув увагу, що текст вийшов дещо грубим, перевантаженим і не дотримується звичайного стилю РПЦ, а зображення голови церкви з пентаграмою, знаком Антихриста, остаточно видає підробку.

"Гарна спроба невідомих патріотів, але трохи не вистачило креативності в підготовці тексту дефейсу", — наголосив фахівець.

Дефейс — це тип хакерської атаки, при якій одна сторінка вебсайту замінюється на іншу, іноді фейкова інформація публікується від імені якоїсь особи або організації. За словами Корсуна, розміщення картинки є лише заключним етапом кібероперації, немов вишенька на торті, адже головне завдання отримати доступ до управління сайтом. Часто для цього необхідно отримати права адміністратора в локальній мережі жертви.

"Саме в цьому полягає майстерність команди хакера. І цю частину роботи кіберпатріоти зробили з відзнакою, питань немає", — визнав він.

2 квітня хакерська група Anonymous заявила про злом серверів РПЦ, який може бути пов'язаний із подальшим дефейсом. "Злиті" електронні листи надали деяким дослідникам і журналістам. За інформацією Костянтина Корсуна, у листуванні не було нічого особливо цінного, проте є багато цікавих моментів:

  • розкривається ієрархія священиків РПЦ, імена керівників і бухгалтерів, режим роботи, графік відпусток;
  • особи, які мають доступ до мережі та відповідають за наповнення сайту;
  • паролі та реквізити доступу до внутрішніх ресурсів, надані підрядникам (використовуються для атак типу supply-chain).

Схоже, що якісно проведений аналіз листування рпц-офіцерів дозволив невідомим хакерам отримати доступ до системи контент-менеджменту сайту.

Що ще раз доводить: злив "неважливої та несекретної інформації" може мати важкі наслідки – якщо настав час зайнятися ґрунтовним аналізом злитого знайдуть серйозні чуваки. Кваліфіковані та високомотивовані", — припустив експерт.

Нещодавно схожі атаки сталися на сайтах виробника військових літаків "Сухий" та Липецького механічного заводу. Костянтин Корсун розповів, що дефейси стали одним із найбільш видовищних і ефективних методів ведення війни в кіберпросторі, адже можуть дезінформувати та викликати паніку в користувачів. Іноді вони вимагають багато часу та складної підготовки, а фейкові сторінки швидко видаляють, посилюючи захист сайтів.

Розміщення власних публікацій також зазвичай демонструє, що хакери зайшли в глухий кут і більше нічого не можуть зробити з вебресурсом. Під час успішних атак організовані групи не привертають увагу до злому, щоб якнайкраще вивчити інфраструктуру, знайти більше цінних даних, лазівок у сусідні системи та вразливостей, що дозволяють завдати якомога більшої шкоди.

"В умовах масованої кібервійни на ретельний аналіз хакнутої системи є час далеко не завжди, тому часто застосовується принцип святого Джавеліна: "побачив-вистрілив-забув". Тобто знайшов уразливість – перевірив можливість дефейсу – розмістив свій контент – пішов далі. Так це було у випадку з РПЦ, чи ми ще станемо свідками повторних атак — побачимо", — підсумував Костянтин Корсун.

Раніше хакери зламали сайт "Газпрому" й опублікували статтю від імені голови Олексія Міллера. Автори від його імені засудили вторгнення Росії до України.

Повідомляли також, як хакери Anonymous "злили" дані Липецького механічного заводу. Підприємство виробляє шасі для зенітно-ракетних комплексів ППО С-300В4 та деталі для бойової техніки ЗС РФ.