Невідомі добродії хакнули веб-сайт РПЦ

Костянтин Корсун

Невідомі добродії хакнули веб-сайт РПЦ (рюзька православна церква, більш відома як підрозділ психологічних спецоперацій фсб рф) та розмістили на ньому анти-кремлівський та анти-гундяєвський текст.

Ось кілька цитат:

«24 февраля российские войска во исполнение преступного приказа властей, без объявления войны вторглись на территорию Украины».

«Патриарх Кирилл и многочисленное духовенство в России продолжают поддерживать агрессивную внешнюю политику».

“С началом агрессии некогда святейший патриарх Кирилл (Гундяев) неоднократно делал публичные заявления в поддержку войны”.

«Четко и однозначно осудить военную агрессию Российской Федерации против Украины. Призвать президента Российской Федерации В. В. Путина немедленно прекратить войну и освободить все захваченные территории суверенной Украины».

Про цей дефейс повідомили у Твіттер-акаунті Euromaidan Press, який ретвітнули Anomymous.

Автори атаки наразі невідомі, сайт рпц вже відновили, як він виглядав під час атаки можна подивитися в архіві.

Не можу назвати цей дефейс витонченим: стилістика не зовсім схожа на гундяєвську, текст трохи перевантажений. У ньому кілька раз згадується «ми», але незрозуміло від чийого імені говориться, підпису нема. Датована «новина» чомусь 3 лютим 2022, за три тижні до початку відритого вторгнення. Та і картинка гундяя зі знаком антихриста на шапці та на фоні палаючої будівлі прямо вказує, що сторінку було хакнуто.

Тому, думаю, відвідувачі сайту рпц навряд чи мали сумніви щодо фейковості «заяви». Хороша спроба невідомих патріотів, але трохи не вистачило креативності у підготовці тексту дефейсу.

Але то таке, я хотів розказати про інше: як це взагалі працює.

Розміщення своєї картинки на ворожому сайті – це вишенька на торті, останній етап кібер-операції.

Головне – отримати доступ до системи управління та наповнення сайту, що часто передбачає отримання адмінських прав в локальній мережі жертви. Саме у цьому полягає майстерність хакерської команди. І цю частину роботи кібер-патріоти зробили на відмінно, питань нема.

Але пригадаємо, що передувало цьому хаку: майже два тижні тому, 2 квітня 2022 група Anonymous заявила, що зламали сервери рпц, злили 15 Гб даних та виклали більше 57 тисяч email-ів із внутрішнього листування, які пропонували для ознайомлення журналістам та дослідникам.

Наскільки мені відомо, зміст злитого листування рпц не містив нічого такого, що могло б допомогти Україні ще швидше перетворити окупантів на погані добрива.

Але скоріш за все, злив 2 квітня та дефейс 13 квітня є взаємопов’язаними подіями.

Аналізуючи начебто звичайний нудний обмін email стосовно “дайте грошей на ще один храм”, можна отримати багато цікавої інформації. Наприклад, ієрархію всередині організації, хто кому начальник, хто за що відповідає, хто які має права доступу всередині мережі, і зокрема хто має доступ до наповнення сайту. Хто коли працює, які очікуються події, коли хто їде у відпустку, хто «бухгалтер», а хто «директор».

Також в email-ах можна знайти паролі, реквізити доступу до внутрішніх ресурсів, дані зовнішніх підрядників (використовується для supply-chain-атак). Ну і ще цікавим є повний список email-ів усіх причетних до рпц осіб, яким свого часу можна надіслати фішингового листа або просто правдиві дані про військові злочини кремлівського режиму.

І схоже, що якісно проведений аналіз листування рпц-офіцерів дозволив невідомим хакерам отримати доступ до системи контент-менеджементу сайту.

Що вкотре доводить: злив «неважливої та несекретної інформації» може мати тяжкі наслідки, якщо час зайнятися ґрунтовним аналізом злитого знайдуть серйозні чуваки. Кваліфіковані та високомотивовані.

І до речі, схожого типу дефейси з розміщенням «заяв» керівників з критикою військової агресії злочинної федерації відбулися нещодавно на сайтах скрєпоносних компаній «Сухой» (виробляє літаки Су-25, Су-27, Су-34, Су-35, Су-57, SSJ-100) та Липецького механічного заводу (виробляє компоненти зенітно-ракетних установок та іншої військової техніки).

Дефейси загалом є одним з найбільш видовищних та медійно-ефективних методів ведення кібер-війни, оскільки на деякий час вводять в оману відвідувачів веб-сайтів та можуть спричинити панічні настрої у певної частини суспільства.

Але є й недоліки: інколи такий тип атаки потребує великої кількості часу на підготовку (для дійсно вагомих сайтів з великою аудиторією), а результати «живуть» відносно недовго, не більше кількох годин.

Зазвичай це призводить до посилення безпеки постраждалого веб-ресурсу, а ймовірність його повторного хаку зазвичай є низькою. Хоча Чорнобаївки періодично трапляються 😛 .

І слід пам’ятати, що дефейс – це свого роду «тупик» для хакера.

Якщо працює добре організована хакерська група, то доступ до внутрішніх мереж використовується по максимуму, не привертаючи уваги до факту зламу. Вивчається внутрішня інфраструктура мережі, які в ній є «цінності», чи можна непомітно вкрасти гроші, чи можна отримати доступ до «сусідніх» мереж, чи можна «закриптувати» та знищити мережу, чи можна отримати цінну інформацію з внутрішнього листування, пошук розміщення бекапів (привіт, росавіація!) або інші можливості.

І лише коли все вже видоєно досуха, тоді вже можна й дефейснути. Власник ресурсу швидко виявить факт зламу, почне чистити внутрішню мережу та «рубати хвости».

Але в умовах масованої кібервійни на ретельний аналіз хакнутої системи є час далеко не завжди, тому часто застосовується принцип святого Джавеліна: «побачив-вистрілив-забув». Тобто знайшов вразливість – перевірив можливість дефейса – розмістив свій контент – пішов далі.

Так це було у випадку з рпц, чи ми ще станемо свідками повторних атак – побачимо.

А поки продовжуємо всі разом мінусувати рашистських тварюк на нашій землі, у нашому повітрі та у наших водах. А також в інформаційному та кібер-просторі.

Слава Україні та її Героям.

Автор