Слідами кіберзлочинів проти ЗМІ

За останній час значно зросли спроби злому сайтів державних установ та ЗМІ Житомирської області. Далеко не всім вдається відновити нормальну роботу та втрачену інформацію. Розслідування правоохоронцями атак з-за меж України може затягнутися на роки, без шансів віднайти бодай виконавців. То ж чи здатні протистояти подібному тиску місцеві ЗМІ і що робити їм в такому випадку?

Всі ми живемо в інформаційному суспільстві, основа якого закладена саме в сфері цифрових технологій. Навіть важко собі уявити, наскільки на сьогодні доступ до особистих напрацювань, зібраних протягом років на персональному комп’ютері, або ж власного сайту в мережі інтернет важливий для будь-кого, хто працює в сфері медіа. В першу чергу це стосується журналістів та редакторів, які регулярно працюють з викривальними матеріалами та зберігають підтвердження фактів корупції чи зловживань зі сторони посадовців.

З іншого боку, виключно наявність відкритого та незаангажованого онлайн-ЗМІ в тому чи іншому регіоні під час виборчої кампанії є сильним стримуючим фактором для потенційних маніпуляцій та фальшувань. Тому найчастіше інформаційні ресурси зазнають нападів саме під час або ж в переддень виборчих кампаній.

Для розуміння природи різного роду хакерських атак слід пам’ятати, що сайти зламуються з метою отримання повного контролю за системою керування наповнення (вмісту) сайту.

Система керування вмістом сайту (англ. Content Management System, CMS) – це програмне забезпечення для організації веб-сайтів чи інших інформаційних ресурсів в Інтернеті чи окремих комп'ютерних мережах. Існують сотні, а може, навіть й тисячі доступних CMS-систем.

Лідером серед CMS у світі та найпопулярнішою в Україні залишається система Wordpress, призначена насамперед для створення блогів та інформаційних сайтів. Саме на даній CMS діють практично всі інтернет-видання Житомирської області. Популярність та простота в обслуговуванні Wordpress стали причиною того, що побудовані з її допомогою сайти найчастіше стають жертвами атак.

У більшості випадків сторонній доступ до сайту здійснюється через отримання паролю адміністратора. Для цього використовується спеціальна програма, яка шляхом почергового підбору чисел та літер віднаходить вірний пароль на сайт.

Брутфорс-атака – метод хакерської атаки або злому комп’ютерної системи шляхом підбору паролів шляхом перебору всіх можливих комбінацій символів до знаходження комбінації, що підходить в якості пароля. Такі атаки є одним з найефективніших способів злому комп'ютерних систем.

Щоб пришвидшити процес добору пароля, він здійснюється одночасно з багатьох ip-адрес, використовуючи віртуальні комп’ютери або попередньо заражені вірусом комп’ютери реальних користувачів. У підсумку сайт повністю «лягає», тобто стає не доступним в інтернет-мережі.

DDOS-атака – це розподілена атака на відмову в обслуговуванні (англ. DoS attack, DDoS attack (Distributed), Denial-of-service attack), напад на комп'ютерну систему з наміром зробити комп’ютерні ресурси недоступними користувачам, для яких комп’ютерна система була призначена.

Жертви атак

Наслідки перелічених атак не обмежуються тимчасовою втратою керування сайтом. Отримуючи права адміністратора, нерідко з сайту чи блогу частково або ж повністю видаляють всю розміщену на ньому інформацію.

Саме так відбулося з одним із житомирських інформаційних порталів «Вголос.zt». Впродовж двох днів, 4 та 5 квітня цього року, доступ до сайту редакція повністю втратила.

Джерело: публікація головного редактора порталу «Вголос.zt» Анни Данюк-Черкашиної на власній сторінці в фейсбук Відновлення роботи сайту зайняло три тижні. Однак багато з розміщених раніше публікацій залишилися недоступними. Редактор порталу Анна Данюк-Черкашина пов’язує здійснену атаку з регулярним оприлюдненням фактів корупції, розподілу бюджетних коштів і «розбазарювання» земель.

- Ми можемо тільки здогадуватися, хто стоїть за подібними мерзенними діями, - констатує Анна Данюк-Черкашина.

У редакції досі непевні в спроможності правоохоронців розслідувати вчинений напад. Заяву в поліцію навіть не подавали, оскільки вважають, що віднайти виконавців, а тим паче замовників блокування з-за кордону сайту, немає жодних шансів.

Зовсім іншої думки самі полісмени.

- Одразу ж необхідно звертатися до відділення Національної поліції та фіксувати весь трафік на стороні хостинг-провайдера, - пояснює заступник начальника Поліського управління кіберполіції Департаменту кіберполіції Національної поліції України в Житомирській області Володимир Грищенко. Після відкриття кримінальної справи вся зібрана інформація стане основою для відслідковування кінцевих ip-адрес та відповідно і їх власників.

- На початку року нами проведено санкціонований обшук в помешканні житомирянина, який у серпні 2016 року заблокував роботу розміщеного в Києві сайту antikor.com.ua, - продовжує правоохоронець.

Згідно з опублікованим текстом ухвали Богунського районного суду, в березні 2017 року на вилучений під час обшуку комп’ютер та мобільний телефон накладений арешт. З листування в спеціальному додатку з обміну миттєвими повідомленнями розкрито замовника атаки на сайт. Слідство за порушеною статтею «Перешкоджання роботі комп’ютерів та мереж зв’язку» (ч. 1 ст. 363-1 ККУ) наразі триває.

На інтернет-безпеці не економити 

На жаль, у Житомирській області описаний випадок залишаться єдиним успішним прикладом серед проведених поліцією подібних розслідувань. Дотримання виконання всіх передбачених етапів на практиці далеко не гарантує швидке знаходження виконавців, а тим паче замовника чи замовників навмисного блокування роботи інтернет-медіа.

Юлія Новицька

- Вперше сайт зазнав атаки ще на позаминулих виборах. Потім повторно і в грудні це був третій раз. Написали заяву до поліції, але жодної відповіді так і не дочекалися, - розповідає директор сайту «Житомир Інфо» Юлія Новицька.

У січні 2017 року, за місяць після звернення від Національної агенції з радіочастот, надійшло підтвердження про стороннє втручання в роботу сайту. Атака здійснювалася з-за кордону одночасно з декількох країн. Через технічне блокування та віддаленість серверів точний маршрут відшукати не вдалося.

У відповіді, отриманій редакцією «Житомир Інфо», Державна служба спеціального зв’язку та захисту інформації підтвердила наявність стороннього втручання в роботу житомирського інформаційного порталу:

- Фахівцями CERT-UA було проведено аналіз наданих файлів (дамп трафіку) та встановлено наявність ознак цілеспрямованої DDOS-атаки з різних зарубіжних (Польща, Китай, Великобританія, Росія) та українських IP-адрес, типу SYN Flood, FIN attackта TCP reset.

Регіональному представнику Інституту масової інформації Головне управління Національної поліції в Житомирській області повідомило, що не володіє інформацією про хід проведення розслідування за поданою редакцією заявою. Про подальшу долю справи «Житомир Інфо» має дізнаватися в Шевченківському районному управлінні Національної поліції України в м. Києві, куди її передали за підслідністю.

- Ми підпорядковуємось Поліському управлінню кіберполіції, який адмініструє одразу  Житомирську, Рівненську та Волинську області. Слідчими функціями ми не наділені. Ми оперативні працівники, а слідчі знаходяться чи в нашій, чи в іншій області, – розповідає заступник начальника відділення Володимир Грищенко.

- У справі щодо «Житомир Інфо» за допомогою TOR-браузера сліди зловмисників ховаються далеко в мережі і віднайти їх практично неможливо. Раджу заздалегідь вибирати професійне обслуговування сайту і не економити на інтернет-безпеці, - підсумував на завершення розмови правоохоронець.

Відтак з упевненістю можна констатувати, що свобода слова в регіональних онлайн-медіа напряму залежить від приділеної редакціями уваги до належного захисту власних сайтів, який досі залишається недостатнім.