IT-специалист общественного фонда «Гражданская инициатива интернет политики» Артем Горяйнов поделился своими предположениями о хакерской атаке на сайт правительства Кыргызстана, совершенной сегодня, 28 августа.
По его словам, атака на сайт, возможно, была не полностью автоматической, то есть когда злоумышленники ищут в автоматическом режиме слабые места в системе управления содержимым сайта — CMS (content management system – прим.ред.), а подготовленной. Возможно, злоумышленники «щупали» на слабые места сайт правительства заранее. Об этом говорит надпись на дефейсе (изображение с оповещением о взломе, оставленная хакерами) взломанного сайта, где было сказано, что взломан именно сайт правительства страны. Кроме этого, уязвимость сайта была, скорее всего, в стороннем компоненте Wordpress, то есть настроенном отдельно от основного.
Кто мог взломать сайт правительства нашей страны?
Взлом сайта совершила достаточно известная хакерская группировка HP-hack. Они взломали достаточно много сайтов по всему миру. Одновременно с сайтом нашего правительства были взломаны сайты правительств Бразилии и Лесото, ранее Ямайки и администрации Крыма (Украина). Эта группа также известна тем, что в прошлом году взломала сайт компании «Joomla», которая разрабатывает популярную в мире одноименную CMS — систему управления сайтами. Их уровень подготовки можно оценить как достаточно высокий. По заявлениям, оставленным на дефейсах взломанных сайтов, можно сделать вывод, что эта группа из Саудовской Аравии. Они оставляют обращения к некоторым мировым лидерам, в частности премьер-министру России Дмитрию Медведеву — против войны в Сирии. Они, в отличие от хакерской группировки Anonymous, которая широко известна и выступает за свободу в Интернете, является исламской направленности.
А что можно сказать об уровне безопасности сайта правительства и где была уязвимость?
Можно сказать, что в данном случае атака была не полностью автоматическая, все-таки на страничке они написали, что взломан сайт правительства Кыргызстана. Значит, они определяли уязвимые места на сайте целенаправленно, прежде чем взломать. Насчет уязвимости, она могла быть где угодно. Это уязвимость так сказать «нулевого дня», то есть, когда сам производитель не успел ее исправить или не знал о ней сам, и она может быть в любом из компонентов CMS Wordpress, который можно поставить и настроить отдельно, но навряд ли она была в основном компоненте. Если бы она была в основном компоненте, то взломанных сайтов по всему миру было бы гораздо больше. Пока трудно сказать, какой компонент был уязвим. Это можно выяснить, если сделать анализ по взлому сайтов правительств Кыргызстана и Бразилии.
Таким образом, безопасность сайта должна быть комплексной мерой и включать не только обнаружение уязвимых компонентов, но и безопасность пользователей сайтов, использование безопасных и сложных паролей, защищенные соединения и компьютеры и так далее.
Отметим, что в этом году были также взломаны сайты Министерства обороны и Госагентства связи Кыргызстана. По утверждению разработчика сайта ГАС, он был взломан по паролю, то есть злоумышленники сумели подобрать пароль к аккаунту администратора. С точки зрения безопасности сайт ГАС был достаточно защищен, чтобы противостоять попыткам взлома и DDoS-атакам.