В ночь с 13 на 14 января более 70 сайтов центральных и региональных органов власти подверглись хакерской атаке. Она затронула и судебную IT-инфраструктуру — сайты, электронную почту, систему видеоконференций. Пока что судебные порталы восстановили не полностью, хотя доступ к большей части из них уже есть. 

«Ґрати» рассказывают о деталях хакерской атаки и о том, как она повлияла на работу судебной системы. 

Ночью 14 января на главной странице Министерства иностранных дел и еще нескольких правительственных сайтов появилось сообщение на украинском, русском и польском языках: «Украинец! Все ваши личные данные были загружены в общую сеть. Все данные на компьютере уничтожаются, восстановить их невозможно. Вся информация о вас стала публичной, бойтесь и ждите худшего. Это вам за ваше прошлое, настоящее и будущее. За Волынь, за ОУН УПА, за Галицию, за Полесье и за исторические земли».

Скриншот одного из взломанных сайтов

Как выяснилось позже, атака состояла не только в замене главной страницы. Изначально правоохранители утверждали, что контент сайтов не меняли и что утечки персональных данных не произошло. Но уже 19 января в Госслужбе специальной связи и защиты информации признали, что ряд внешних информационных ресурсов уничтожили в ручном режиме. 

Чтобы локализовать проблему и не дать атаке распространиться на другие ресурсы, другие государственные сайты тоже отключили. Среди них оказались и портал «Судебная власть», сайты Совета судей, Высшего совета правосудия и Верховного суда. Блокировка не затронула сайты, которые работают независимо от «Судебной власти» — например, Конституционного суда Украины или Киевского районного суда Одессы.

Также не работал Единый реестр судебных решений. Глава Государственной службы специальной связи и защиты информации Виктор Жора рассказал во время брифинга, что специалисты проверяют, не внесли ли в реестр фейковые решения. 

Несмотря на проблемы с интернет-порталами, сотрудники нескольких судов сообщили «Ґратам», что работают в штатном режиме. При этом на страницах некоторых судов в соцсетях появились сообщения о том, что у них нет доступа к электронной почте. Поэтому документы просили присылать бумажной почтой. К концу дня 14 января работа сайтов была восстановлена. В судебной администрации заявили, что потери критических данных удалось избежать. Сейчас специалисты восстанавливают сервера и разворачивают дополнительную инфраструктуру — сообщает судебная администрация. 

Также в ведомстве сообщили, что к 18 января заработал судебный реестр, «Судебная власть», почта, видеоконференцсвязь, доступ судов к интернету и сайт Совета судей. Продолжается работа по восстановлению сайта Высшего совета правосудия. При этом администрация отмечает, что некоторый функционал на уже восстановленных сервисах может работать в ограниченном режиме. Например, с сайтов судов исчезло расписание слушаний — сначала на соответствующей странице появлялось сообщение о том, что в суде нет назначенных заседаний, затем сменилось на предупреждение о возможных проблемах с поиском в связи с техническими работами. 

Сам Высший совет правосудия заявил, что его сайт был «существенно поврежден». 18 января ВСП сообщил, что обратился в СБУ, Госсвязь в Киберполицию и Министерство цифровой информации с просьбой принять неотложные меры для возобновления работы сайта. В полдень 19 января совет сообщил, что сайт снова работает, основная информация доступна для ознакомления. Специалисты продолжают наполнять сайт и восстанавливать потерянные во время атаки данные. 

В Киберполиции 17 января рассказали о том, что атаку на сайты совершили через цепочку поставок — supply chain attack Кибератака, направленная на то, чтобы нанести ущерб организации, нацелившись на менее безопасные элементы, задействованные в ее работе . Правоохранители считают, что злоумышленники взломали учетные записи сотрудников коммерческой компании — разработчика пострадавших сайтов, у которого был доступ с правами администрирования. Через несколько дней в ведомстве уточнили, что атака была комбинацией трех векторов — supply chain attack и эксплуатация уязвимостей систем управления контентом сайтов OctoberCMS та Log4j. 

По данным СБУ, были повреждены MBR записи Служебная информация на носителе, необходимая для доступа к данным  на отдельных серверах и пользовательских компьютерах как на Windows, так и на Linux. 

В госслужбе специальной связи и защиты информации утверждают, что на нескольких порталах зафиксировали использование программы-вайпера WhisperGate — по классификации компании Microsoft она предназначена для уничтожения данных. Также в ведомстве, начиная с пятницы, фиксируют DDOS-атаки Большое количество запросов за короткое время, которые, в конечном счете, перегружают работу системы  на некоторые пострадавшие госпорталы.

В СБУ утверждают, что есть отдельные признаки причастности к атаке хакерских групп, связанных со спецслужбами России. В министерстве цифровой информации заявили более уверенно — все доказательства указывают на то, что за атакой стоит Россия. При этом, доказательств этим утверждениям ни одно ведомство не предоставляет. По версии министерства, вброс фейсков про уязвимость критической инфраструктуры и слив персональных данных нужны злоумышленникам для того, чтобы остановить работу госсектора и подорвать доверие населения к власти. 

Как сообщили в Киберполиции, правоохранители расследуют дело по статье о несанкционированном вмешательстве в работу автоматизированных систем статья 361 Уголовного кодекса Украины .