Хакери зламали українські ЗМІ: чому їм це вдалося і як українцям не стати жертвами атак

18 лютого українські інтернет-ЗМІ "Українська правда", "Апостроф", Liga.net і "Телеграф" повідомили про кібератаку, в результаті якої були опубліковані фейкові новини про події в Авдіївці. Фахівець з кібербезпеки Костянтин Корсун у коментарі Фокусу розповів, як це могло статися і чи можна запобігти подібним випадкам у майбутньому.

Державна служба спеціального зв'язку та захисту інформації офіційно заявила, що українські медіа атакували хакери, і нібито саме вони розмістили фейкові новини. Через це представники "Української правди", Liga.net, "Апострофа" та "Телеграфа" звернулися до Урядової команди реагування на комп’ютерні надзвичайні події (CERT-UA), яка наразі проводить розслідування.

Однак експерт бачить хронологію подій такою: спочатку хакери зламали акаунт "Української правди" у соцмережі "Х" (Twitter) і опублікували фейкові новини, які інші видання швидко перепублікували на своїх сторінках. За деякий час постраждалий ЗМІ відновив доступ до облікового запису, журналісти схаменулися і видалили публікації.

"Потім усі разом вирішили написати заяви до CERT-UA про "хакерську атаку" та "наш сайт зламали". Хоча, судячи з доступних даних, скоріш за все зламаний був лише один акаунт одного видання у мережі Х. Можливо, насправді все було якось інакше, і спочатку хакнули сайт, з якого фейки було поширено у Х, як стверджує, наприклад, Liga.net, але у публічному доступі більш детальної інформації про цей інцидент практично немає: мовчать і видання, і держструктури. І навряд чи щось розкажуть, — зазначив Костянтин Корсун. — Якщо сайти видань дійсно хакнули — чекатиму порушення кримінальних проваджень за ст. 361 ККУ. Але товстий черв’як скептицизму всередині мене нахабно прогнозує, що таких проваджень не буде. І він же ставить питання: якщо сайт видання вразливий до зламу — чи можна йому довіряти надалі?".

Кіберфахівець додав, що інцидент доволі дрібний, але вказує на значну проблему: недостатній рівень кібер-гігієни навіть у популярних українських ЗМІ, які є особливо цінною мішенню для ворожих атак. На його думку, журналісти не використовували двофакторну автентифікацію для акаунтів у X або ж встановили слабкий пароль. Ймовірно, людина, яка веде акаунт "Української правди", просто не знала правил кібербезпеки, бо їй ніхто не розповів про них.

"Я розумію, що у видань немає коштів на нормальних кібер-фахівців. Та й фахівців таких сильно не вистачає в Україні: хтось за кордоном, хтось у війську, усі інші — в дефіциті. Розумію, що є проблеми навіть нормально платити журналістам. Але ж провести кілька тренінгів з кібер-гігієни коштує на порядок менше, ніж платити штатному кібер-фахівцю. Нехай не все стане зрозуміло з першого разу, нехай не усі рекомендації будуть виконуватися, але люди хоча б знатимуть про можливі ризики. І це прям сильно підвищує рівень кібербезпеки всієї організації, — підкреслив Костянтин Корсун. — Висновок по всій ситуації простий: широкомасштабна інформаційна війна триває, і кібератаки є одним з її елементів. Ефективним методом протидії є навчання персоналу. Все. Тому розходимося і йдемо шукати курси кібер-гігієни".

Голова ГО "Український Кіберальянс" Артем Карпинський також вважає, що з високою ймовірністю відбулася фішингова атака проти користувачів або SMM-спеціалістів видань, яка дала змогу зловмисникам заволодіти паролем від акаунту. За відсутності другого чинника автентифікації це дало змогу отримати доступ як до поштової скриньки, куди мали надходити повідомлення про підозрілу автентифікацію в акаунті Х, так і до самого акаунту Х.

"Мав місце людський фактор та недостатній рівень захищеності акаунту — повторне використання паролів/парольних фраз на декількох акаунтах, відсутність другого фактору автентифікації, недостатній рівень обізнаності користувача. Також не слід виключати можливість використання зловмисниками шкідливого коду з функціоналом викрадення паролів — form grabber/password stealer", — прокоментував Артем Карпинський Фокусу.

Що кіберексперт порадив робити, щоб уберегтися від подібних атак:

• використовувати складні паролі, бажано — парольних фраз;
• не намагатися повторно використовувати однакові паролі або парольні фрази для багатьох акаунтів в соціальних мережах, фінансових додатках, робочих акаунтах;
• обов'язково налаштувати другий фактор автентифікації, це можуть бути OTP (одноразові паролі), що генеруються у спеціальних додатках, доступних для завантаження у, наприклад, AppStore та GooglePlay — Google Authenticator, або Microsoft Authenticator, або автентифікація через SMS-повідомлення;
• ідеальним варіантом є використання апаратних ключів автентифікації. Наприклад, YubiKey та їхні аналоги.
• мати критичне мислення та обізнанність щодо дій зловмисників під час фішингових атак проти користувачів, як-от електронні повідомлення в месенджерах або електронної пошти.

Зазначимо, що на корпоративну електронну пошту Фокусу напередодні надходило багато листів, найімовірніше, фішингових — приблизно по 3–5 на добу. Повідомлення містили різні прохання та пропозиції, які провокували перейти за посиланням: пропонували зробити публікацію, розповідали про помилку у коді сайту, а одного разу навіть вимагали винагороду за знайдений "баг". Ось один з прикладів:

Нагадаємо 12 грудня мобільний оператор "Київстар" постраждав від кібератаки. Абоненти понад добу залишалися без зв'язку та інтернету, як мобільного, так і домашнього.