Lietuvoje

2021.01.27 18:16

Kelias valandas Lietuvos savivaldybių tinklapiuose šeimininkavo įsilaužėliai – kaip vyko dešimtmečio kibernetinė ataka?

Jurga Bakaitė, LRT.lt2021.01.27 18:16

Gruodį KAM skelbė apie įvykusią didžiausią per dešimtmetį kibernetinę ataką, kai buvo neteisėtai prisijungta prie daugiau nei dvidešimties valstybinių įstaigų puslapių ir paskelbta melagingų žinučių. Tačiau, kaip išsiaiškino LRT.lt, tai nebuvo atsitiktinumas – atakuojamos buvo ir kitos svetainės. Tad kas nutiko, kad prie kai kurių biudžetinių įstaigų pavyko palyginti nesunkiai prisijungti nusikaltėliams?

Žala tik per plauką nebuvo daug didesnė

Kad neteisėtai buvo bandoma prisijungti ir prie kitų puslapių, LRT.lt patvirtino Vilniaus miesto savivaldybės atstovai.

„Taip, fiksuoti bandymai, tačiau po bandymų Vilniaus miesto savivaldybėje automatiškai buvo blokuojamas IP adresas, iš kurio bandoma kelis kartus jungtis“, – teigiama atsiųstame atsakyme.

Būtent tai ir buvo lemiama spraga keliolikos savivaldybių puslapiuose. Prie jų turinio valdymo sistemų pernelyg lengvai buvo galima prisijungti iš išorės: įsilaužėliai žinojo standartinį prisijungimo vardą ir sugebėjo atspėti slaptažodžius. Šių bandymų niekas neblokavo, kol piktavaliams pavyko prisijungti. Taip jie pateko į svetaines ir įkėlė ten žinučių, tos žinutės sukėlė sąmyšį.

Nacionalinio kibernetinio saugumo centro (NKSC) teigimu, visoms paveiktoms savivaldybėms duoti konkretūs nurodymai, kaip sustiprinti savo svetainių apsaugą.

Nukentėjusios savivaldybės – tos pačios įmonės klientės

Tačiau viena detalė leidžia daryti prielaidą, kad kalti dėl įvykusio incidento gali būti ne tik savivaldybių atstovai, nesužiūrėję, kas bando prisijungti prie tinklapių.

Dvi iš savivaldybių TVS tiekėją pakeitė iškart po atakos.

Visos nukentėjusios valstybės įstaigos naudojo UAB „Idamas“ sukurtą turinio valdymo sistemą „Smart Web“. Nors dauguma jų – savivaldybės, nukentėjo taip pat ir Valstybės sienos apsaugos prie VRM puslapis bei Elektrėnų butų ūkio puslapis, tos pačios įmonės klientai.

Dvi iš savivaldybių – Kėdainių ir Biržų – šį TVS tiekėją pakeitė iškart po atakos, rodo jų svetainių archyvai.

UAB „Idamas“ puslapis rodo, jog ši įmonė turi įspūdingą valstybinių įstaigų klientų portfelį, dar prieš keletą metų jos sistemą naudojo beveik visos šalies savivaldybės. Tačiau, susisiekus su jos atstovais, pakomentuoti situacijos įmonė nepanoro motyvuodama tuo, kad vyksta tyrimas.

Nuo konkursų praėjo 10 metų, o puslapiai per tą laiką atsinaujino nedaug.

Kaip LRT.lt informavo NKSC, gruodį įvykusį incidentą šiuo metu tiria policija ir žvalgyba. NKSC taip pat yra minėjęs, kad TVS kūrėjų po incidento buvo paprašyta suteikti informacijos apie sistemą.

Tačiau pastaraisiais metais vis daugiau įmonės klientų savivaldybių perėjo pas konkurentus – UAB „Fresh Media“. Šios įmonės direktorius Mindaugas Tautkus LRT.lt paprašytas pakomentuoti situaciją rinkoje sakė, jog anksčiau konkurentai buvo sukūrę gerą pasiūlymą „E-demokratijos“ projektui, todėl ir tiekė paslaugas daugumai savivaldybių. Tai skelbia ir pats įmonės puslapis. Tačiau nuo šių konkursų praėjo 10 metų, o puslapiai per tą laiką atsinaujino nedaug.

„Mano žiniomis, nuo to laiko UAB „Idamas“ TVS nebuvo aktyviai vystoma ar leidžiamos naujos versijos“, – apie konkurentų produktą pasakojo M. Tautkus. Vis dėlto jis pridūrė, kad ne visada dėl spragų kalti tiekėjai: „Jei garantiniai įsipareigojimai pasibaigę, o klientas nesirūpina naudojamų sistemų saugumu, neskiria lėšų palaikymo sutartims, <...> tokiu atveju tikimybė pasinaudoti saugumo spragomis labai išauga.“

Kitaip sakant, nepakanka puslapių valdymo sistemų įsigyti, reikia numatyti išteklių ir joms palaikyti.

Palaikymo darbai pirkti

Viešųjų pirkimų duomenys rodo, kad dvi kibernetinės atakos aukos – Molėtų ir Šilalės rajonų savivaldybių administracijos – yra ir vieni dažniausių valstybinių UAB „Idamas“ klientų, nors ir nenešantys įmonei daugiausia pelno, bet sudarantys daugiausia sutarčių. Viena iš jų pirktų paslaugų dar prieš 2 metus buvo turinio valdymo sistemos palaikymo paslaugos – tos pačios sistemos, į kurią ir buvo įsilaužta.

Tuo metu kai kurios savivaldybės pasirašė sutartis su kitomis įmonėmis, kelios ilgainiui perėjo prie atviro kodo sistemos „WordPress“. Būtent taip nuo 2018 metų veikia minėta Vilniaus miesto savivaldybės svetainė, ją, rašoma savivaldybės pranešime, sukūrė patys darbuotojai, minima, kad ji tapo patogesnė, saugesnė, nepriklausoma nuo viešųjų pirkimų.

Kieno kreivos rankos – neaišku

Svarbu paminėti, kad nors visos ataką patyrusios įstaigos naudojo UAB „Idamas“ TVS, kai kurie kiti jų klientai atakos išvengė.

Atrodo, yra požymių, kad kreivos buvo naudotojų rankos.

Vilius Benetis, UAB „NRD Cyber Security“ vadovas ir kibernetinio saugumo konsultantas, paklaustas, kodėl atsirado spraga, leidusi prisijungti prie savivaldybių svetainių, minėjo, kad galimi trys scenarijai.

Suklysti galėjo programuotojai, kūrę sistemą, jos diegėjai, padarę konfigūracijos klaidų, arba naudotojai, pavyzdžiui, naudodami nesaugius slaptažodžius.

„Atrodo, yra požymių, kad kreivos buvo naudotojų rankos, bet tie naudotojai buvo iš priežiūros organizacijos, turbūt – gamintojo, nes nustatė tam tikrus slaptažodžius, kurie gali būti atspėjami ar parenkami, ir jais buvo pasinaudota“, – darė prielaidą pašnekovas, tačiau pridūrė, kad prielaida, jog atakai įvykti sąlygas sudarė TVS gamintojas, turėtų būti patikslinta NKSC.

NKSC gruodį aiškino, kad neteisėti prisijungimai vyko „pasinaudojus standartiniu turinio valdymo sistemos naudotoju ir sėkmingai parinkus slaptažodį“, – užklausti, ką konkrečiai tai reiškia, NKSC specialistai paaiškino nenorintys atskleisti dėl ateities incidentų.

Beje, savivaldybių tinklapių analizė rodo ir tai, kad ne visos jos naudoja HTTPS protokolą. Tai yra saugaus ryšio garantu laikoma priemonė, pavyzdžiui, ekspertai pataria niekada neapsipirkti puslapiuose, kurių adresas neprasideda šiuo sutrumpinimu, ir vis dažniau – juose net nesilankyti. Tačiau būtent tokie šiandien tebėra didelė dalis Lietuvos savivaldybių puslapių.

„Tarptautinės normos ir kt. rodo, kad reiktų naudoti HTTPS. Jo nenaudojimas rodo blogą kibernetinio saugumo valdymą. Turi būti priežastis, kodėl šiais laikais nenaudojame HTTPS“, – LRT.lt sakė V. Benetis.

Žala didesnė, nei gali atrodyti

Per įvykusią ataką buvo paveikti 22 puslapiai, juose paskelbta melagingų žinučių apie lenkų diplomatą, Šiaulių oro uosto rekonstrukciją ir šauktinių sąrašą.

Tačiau ar neteisėtai prisijungti prie ne pačių populiariausių lietuviškų interneto puslapių ir paskelbti ten gana akivaizdžiai netikrą informaciją – tikrai svarbus incidentas? Juo labiau kad į jį sureaguota buvo žaibiškai, visos nukentėjusios įstaigos NKSC nurodymu privalėjo sugriežtinti saugumą: apriboti viešą TVS prieinamumą, nuotoliniu būdu prie jos prisijungti leisti tik tam tikriems IP adresams, jungiantis ne iš įstaigos tinklo, naudoti papildomą autentifikavimą. Žinutes, tikėtina, mažai kas spėjo perskaityti ir jomis patikėti, jos nepasklido toliau.

Tokiomis atakomis yra tikrinami ir mūsų nacionaliniai pajėgumai.

Balys Liubinavičius, „Debunk EU“ tyrimų centro, analizuojančio dezinformaciją, vyriausiasis analitikas, atkreipia dėmesį, kad gruodį Lietuvoje vykusios atakos tikslas buvo anaiptol ne įtikinti gyventojus paskleistomis žinutėmis.

„Melaginga informacija šiuo atveju yra naudojama kaip ataką pastiprinantis elementas, tikrinant, pavyzdžiui, žiniasklaidos priemonių budrumą ir atsparumą, būna, kad kritiškai neįvertinę turinio patiklesni portalai įsikelia melagieną. <...> Galiausiai, tokiomis atakomis yra tikrinami ir mūsų nacionaliniai pajėgumai, pavyzdžiui, testuojant reakcijos greitį: kiek laiko užtruko panaikinti melagingą turinį, atkurti puslapio valdymą, kas, kokia institucija pirma ir kada viešai pranešė apie incidentą“, – sakė pašnekovas.

B. Liubinavičiaus teigimu, sėkmingos kibernetinės-informacinės atakos piktavaliams suteikia pranašumą: ateityje jie galės geriau modeliuoti scenarijus ar operacijas, galės siekti reikšmingesnių tikslų, pavyzdžiui, išvesti tam tikras institucijas iš rikiuotės ar sukompromituoti tam tikrus žurnalistus, žiniasklaidos priemones taip, kad jais visuomenė nebepasitikėtų.

Pašnekovas sako, kad Lietuvoje nutikus tokiems incidentams išryškėja dvi valstybės silpnosios vietos. Pirmoji – jie nėra aiškiai įvardijami kaip nusikaltimai.

Įmonės bei viešojo sektoriaus organizacijos vis dar nėra linkusios investuoti papildomų kaštų į saugumą, kol pačios savo kailiu nepatiria tokių atakų.

„Iki šiol valstybės institucijoms sunkiai sekasi pastūmėti tokių informacinių atakų teisinį nagrinėjimą, kad baudžiamoji ar administracinė atsakomybė būtų iškelta subjektams, kurie organizavo, vykdė ar kitaip prisidėjo prie šio nusikalstamo veiksmo vykdymo“, – teigia B. Liubinavičius. Anot jo, valstybės institucijos dažnai sako negalinčios pagelbėti, neva nusikaltėlius labai sunku rasti, tačiau kartais per tokias atakas nukenčia ir asmenys, jų reputacija. Teisinis nagrinėjimas, jo žodžiais tariant, „leistų atgrasyti panašius atvejus, juos aiškiai kvalifikuojant kaip nusikalstamą veiką, <...> taip pat palengvintų ir institucijų darbą, leistų išgryninti procedūras, taisykles, kurios suteiktų daugiau aiškumo, kaip valstybei, nukentėjusiems asmenims, organizacijoms reikėtų elgtis.“

Antra problema, pašnekovo teigimu, yra kibernetinis raštingumas, higiena. Pasak jo, įmonės bei viešojo sektoriaus organizacijos vis dar nėra linkusios investuoti papildomų kaštų į saugumą, kol pačios savo kailiu nepatiria tokių atakų. Nesenas to pavyzdys – incidentas, kai dienai buvo sutrikęs NVSC darbas, pakako, kad buvo atidarytas ir persiųstas kolegoms kenkėjiškas elektroninis laiškas.

„Valstybė turėtų dažniau užsiimti kibernetinio švietimo veikla, viešinti tokias operacijas ir parodyti operacijos eigą: kas ir kaip buvo padaryta, kaip buvo pasinaudota tam tikrais pažeidimais įvykdžius vieną ar kitą išpuolį. Veiksmų sekos atskleidimas, tiek, kiek leidžia įstatymas, yra vartotojui aiškesnis ir labiau suprantamas būdas nei tik paties įvykio konstatavimas, kuo dažnu atveju ir apsiriboja valstybės vieša komunikacija“, – sakė pašnekovas.

Populiariausi

Karantinas Vilniuje
COVID-19 TRUMPAI 6

Lietuvoje

2021.03.05 09:32
COVID-19 TRUMPAI

COVID-19 Lietuvoje: plečiasi židiniai darželiuose, įmonėse ir futbolo klube

434 atvejai, mirė 5 žmonės; atnaujinta 11.10
6
Rugsėjo 1-oji

Lietuvoje

2021.03.05 12:48

Pradinukų sugrįžtuves į klases ketinančios skelbti Plungės meras: baubas nėra toks didelis, kokį jį piešia

iki antradienio vakaro laukia mokyklų, kurios nori atverti duris, apsisprendimo; atnaujinta 15.58