Kibernetinė ataka, išnaudojant valstybinio sektoriaus svetainių pažeidžiamumą, siekiant išplatinti melagienas

2020-12-16

2020 m. gruodžio 9 d., išnaudojant interneto svetainių turinio valdymo sistemos saugumo spragą, neteisėtai prisijungta prie didelio skaičiaus viešojo sektoriaus svetainių ir išplatintos trys skirtingo turinio tikrovės neatitinkančios naujienos.

Incidentas buvo vykdomas 2020 m. gruodžio 9 d. tarp 17:00 - 21:00 pasinaudojus vieno iš Lietuvos interneto svetainių kūrėjo saugumo spraga slaptažodžių valdymo procesuose, vykdant prisijungimus prie turinio valdymo sistemų. Fiksuoti neteisėti prisijungimai prie 22 viešojo sektoriaus svetainių, kurių didžioji dalis priklauso savivaldybių administracijoms. Prisijungus piktavaliai įkėlė tris skirtingas tikrovės neatitinkančios naujienas: „Lenkijos diplomatas sulaikytas įvažiuojant į Lietuvą“, „Šiaulių oro uosto infrastruktūros modernizavimo yra FEIKAS“, „Karo prievolės ir komplektavimo tarnybos regioniniai padaliniai patikslina karo prievolininkų šauktinių sąrašus“. 





Tikrovės neatitinkančios informacijos pavyzdžiai
 

Tuo pačiu metu, buvo platinami suklastoti el. laiškai imituojant Lietuvos Respublikos krašto apsaugos ministerijos, Lietuvos Respublikos užsienio reikalų ministerijos ir Šiaulių savivaldybės administracijos el. pašto adresus. Laiškuose buvo atkartojamas melagienų turinys ir pateikiamos internetinės nuorodos į pažeistas svetaines.
 





Suklastotų el. laiškų pavyzdžiai
 
Įvertinus tyrimo metu surinktą medžiagą, galima teigti, kad kibernetinė ataka buvo vykdoma tikslingai. Kibernetinės atakos įvykdymui buvo planuota ir pasiruošta iš anksto. Tenka konstatuoti jog kibernetinio saugumo subjektai nepakankamai dėmesio skiria kibernetiniam saugumui: turinio valdymo sistemos pasiekiamos iš išorės, nėra atliekama turinio valdymo sistemos naudotojų veiksmų kontrolė, naudojami nesaugūs turinio valdymo sistemos naudotojų slaptažodžiai, kurie taip pat nėra periodiškai keičiami. Šie incidentai demonstruoja jog interneto svetainių kūrėjai ir valdytojai neskiria pakankamo dėmesio gerosioms kibernetinio saugumo praktikas, o kibernetinio saugumo specialistų rekomendacijos taikomos nepakankamai. 

Nacionalinio kibernetinio saugumo centro rekomendacijos
  • Apriboti viešą turinio valdymo sistemos pasiekiamumą, nuotolinę turinio administravimo prieigą suteikiant tik personalui iš konkrečių dedikuotų IP adresų (angl. whitelist). Esant viešo pasiekiamumo būtinybei, būtina sustiprinti administravimo naudotojų paskyrų autentifikavimo priemones, pritaikant dviejų faktorių autentifikavimą (2FA).
  • Dažniausiai naudotojams apgauti naudojami socialinės inžinerijos metodai, kai stengiamasi sudominti, išgąsdinti ar manipuliuoti įvairiomis emocijomis, todėl itin svarbus nuolatinis darbuotojų sąmoningumo ugdymas: vartotojų švietimas, supažindinant su galimomis grėsmėmis, kibernetinio saugumo pratybų organizavimas, rekomendacijos, kaip elgtis su įtartinais laiškais, jų priedais ar dokumentais.
  • Neaktyvuoti elektroninio pašto skaitymui naudojamos programinės įrangos nustatymų, kurie automatiškai inicijuotų laiško turinyje esančių paveikslėlių atsisiuntimą. Įtartinuose elektroniniuose laiškuose neinicijuoti paveiksliukų atsisiuntimo.
  • Periodiškai vykdyti išsamų svetainių infrastruktūros kibernetinio saugumo vertinimą: peržiūrėti visus sistemose naudojamus aktualių naudotojų vardus, jų slaptažodžius; tikrinti failus; uždrausti nenaudojamus funkcionalumus, ypač tuos, kurių pagalba galima prisijungti iš išorės į vidų. 
  • Siekiant apsaugoti svetaines nuo įsibrovimų, apsaugai naudoti svetainėms skirtą ugniasienę (angl. Web Application Firewall – WAF). Reguliariai atnaujinti tarnybinėse stotyse naudojamą programinę įrangą, apriboti prieigą prie administravimo sąsajos (pvz., prieigos kontrolės sąrašais), griežtai kontroliuoti administravimo teises turinčias paskyras, naudoti sudėtingus ir reguliariai keičiamus prieigos slaptažodžius, reguliariai atlikti svetainių žurnalų įrašų (angl. logs) ir failų sistemos auditą. Suplanuoti ir reguliariai atlikti svetainių pažeidžiamumų skenavimą.

Visi pranešimai