Długa jest historia atakowania ukraińskich instytucji rządowych przez hakerów z całego świata. Ukraiński CERT wielokrotnie publikował informacje o incydentach, przypisując im rosyjską działalność przestępczą. Jeden z najpoważniejszych cyberataków ostatnich dekad odbył się w 2015 roku. Wówczas niemal połowa domów i mieszkań w obwodzie iwanofrankiwskim (prawie milion mieszkańców) zostało pozbawionych energii elektrycznej na kilka godzin. Według ukraińskiej agencji informacyjnej TSN przyczyną awarii zasilania był „atak hakerów” na jednego z lokalnych dostawców energii elektrycznej (firmę Prykarpattyaoblenergo).
W roku 2018 ukraiński CERT wraz ze Służbą Wywiadu Zagranicznego Ukrainy ogłosił wykrycie na urządzeniach rządowych backdoora Pterodo, powiązanego z rosyjskimi hakerami. Dochodzenie przez Służbę Bezpieczeństwa Ukrainy (SBU) powiązało grupę hakerów Gamaredon z Federalną Służbą Bezpieczeństwa Rosji (FSB). I mieli całkowitą rację! Wówczas doniesienie ukraińskiego CERT wskazywało na to, że te działania przestępcze były przygotowywaniem się do czegoś większego.
Cyberataki na ukraińskie strony rządowe
Ukraiński zespół ds. reagowania na incydenty cyberbezpieczeństwa informuje o szeregu włamań na strony internetowe: Ministerstwa Spraw Zagranicznych, Ministerstwa Edukacji i Nauki i innych:
- adm.dp.gov.ua;
- bukoda.gov.ua;
- check.gov.ua;
- court.gov.ua;
- diia.gov.ua;
- dpss.gov.ua;
- dsns.gov.ua;
- e-driver.hsc.gov.ua;
- e-journal.iea.gov.ua;
- forest.gov.ua;
- gov.ua;
- kmu.gov.ua;
- mail.gov.ua;
- epr.gov.ua;
- mfa.gov.ua;
- minagro.gov.ua;
- minregion.gov.ua;
- mon.gov.ua;
- mova.gov.ua;
- mva.gov.ua;
- nads.gov.ua;
- rp.gov.ua;
- rv.gov.ua;
- sies.gov.ua;
- treasury.gov.ua.
Zrzut ekranu z web.archive.org
Na stronie głównej tych witryn zamieszczano prowokacyjne wiadomości odnoszące się do wydarzeń historycznych. Treść oryginalnych stron nie uległa zmianie i według wstępnych informacji ekspertów nie doszło do wycieku danych osobowych.
CERT zalecił wszystkim administratorom, aby załatali lukę CVE-2021-32648 w oprogramowaniu CMS October. Podatność może skutkować włamaniem na serwer i dostępem do plików strony.
W wyniku cyberataku działalność stron internetowych, w tym powiązanych usług, zostały tymczasowo zawieszone.
