Росія продовжує втручатися в український інформаційний простір — клонує та зламує новинні сайти для поширення дезінформації, глушить супутникові сигнали телеканалів для трансляції пропаганди тощо.
Центр демократії та верховенства права у своєму новому дослідженні проаналізував зв’язок між кібератаками та дезінформаційними кампаніями проти України. Фахівці на прикладах пояснили своєрідність різних типів загроз і надали медійникам рекомендації для протидії цифровим небезпекам.
Докладне дослідження дивіться на сайті ЦЕДЕМ, а тут ми зібрали короткі висновки того, що має стати в пригоді медіа.
Методологія дослідження
Дослідники охопили часовий проміжок із 1 лютого 2022 року до 31 липня 2024 року.
- Кількісні методи використані для збору й аналізу статистичних даних про кібератаки та дезінформаційні кампанії проти України. Це допомогло дослідникам визначити тенденції в частоті проведення кібератак, встановити кореляцію між ними, виявити періоди найбільшої активності й оцінити масштаб впливу.
- Якісні методи дали змогу проаналізувати текстові звіти держустанов і міжнародних організацій про проведені кібератаки, виявити основні тренди й методи.
- Кейс-стаді метод розглядає конкретні приклади клонування українських сайтів, злами сайтів тощо.
- Функціональний метод систематизує й оцінює нормативно-правові межі регулювання протидії кібератакам і дезінформації на національному рівні.
Сайти-клони
Як їх створюють?
Фахівці Центру демократії та верховенства права відзначають, що для створення клонів хакери вибирають популярний сайт новин, який викликає довіру в авдиторії, та створюють доменне ім’я для клонування. Воно може відрізнятися від оригіналу лише кількома символами, які пересічна людина не завжди відразу помітить. Наприклад, .net. замість .com. Далі вони працюють над візуальним наповненням сайту й публікацією контенту.
Для контенту зловмисники створюють нові або копіюють статті з російською дезінформацією та пропагандою. Такі публікації намагаються викликати емоційну реакцію авдиторії — страх, розпалити гнів або розчарувати в діях влади. Щоб підвищити рівень легітимності сайту-клону, хакери поширюють неправдиві новини поруч зі справжніми статтями з оригінального сайту, скориставшись інструментами, які автоматично переносять нові публікації з оригінального сайту на сайт-клон.
Покликання у соцмережах на ці статті вони поширюють за допомогою фейкових акаунтів у соцмережах і таргетованої реклами.
Приклади клонування сайтів
Інтернет-видання Obozrevatel мало сайт-клон з ідентичним дизайном і структурою, проте з іншим доменним ім’ям верхнього рівня — .ltd замість .com. Контент сайту не мав нічого спільного з контентом оригінального Obozrevatel. Він відтворював типові наративи російської пропаганди й дезінформації, наприклад, статтю «Союзники нас зливають: замість допомоги Україні вони перейнялися власною обороною». На справжньому сайті Obozrevatel такої статті не було.
2023 року створили клон «Української правди», що був візуальною копією оригінального видання, навіть використовував ідентичний інтерфейс і логотип. Адреса сайту-клону відрізнялася лише кількома символами й переставленими місцями літерами^ https://pravda-ua.com замість https://pravda.com.ua/.
На сайті опублікували щонайменше 14 неправдивих статей, які просували російські наративи, а деякі з них містили покликання на Telegram-канали, які працюють на Росію. Приклад — колонка «Экономика войны: командиры наживаются на смерти солдат», нібито написана журналістом «Української правди» Павлом Казаріним. Але, за словами журналіста, він цю колонку не писав. Керівництво УП надіслало звернення до Служби безпеки України з проханням вжити відповідних заходів, і наразі сайт-клон неактивний.
Рекомендації для медіа
- Відстежуйте сайти-клони.Регулярно перевіряйте, чи не з’явилися в інтернеті клоновані версії сайту й оперативно фіксуйте такі випадки зі зверненням до відповідальних правоохоронних органів. Для моніторингу використовуйте Сповіщення Google або інструменти Copyscape і Copysentry.
- Використовуйте цифрові водяні знаки у своїх матеріалах. Поширення цифрових водяних знаків можна відстежувати, щоб запобігати їхньому використанню в неправдивих статтях на сайтах-клонах
- Підвищуйте обізнаність авдиторії. Інформуйте своїх читачів про випадки клонування сайту, щоб запобігти плутанині й захистити їх від потенційної дезінформації. Чітко пояснюйте, чим справжній сайт відрізняється від його клону.
- Зверніться до хостинг-провайдера. Щоб визначити хостинг-провайдера сайту, можна скористатися інструментами. Зверніться з проханням ужити заходів для блокування доступу до незаконної копії.
- Зверніться до реєстратора домену. Дані про реєстратора домену сайту-клону можна знайти на сайті. Зверніться до компаній, що надають послуги Content Delivery Network. Дізнатися постачальника CDN-послуг можна за допомогою інструменту.
- Вживайте правового захисту
- У разі клонування сайту звертайтеся до Кіберполіції з офіційною заявою про зловмисну діяльність, а також повідомити про інцидент Урядовій команді реагування на комп’ютерні надзвичайні події України.
Злам сайтів
Як це відбувається?
Зловмисники вибирають популярний ресурс і шукають вразливості в програмному забезпеченні, що використовується для керування контентом сайту. Наприклад, застарілі версії CMS або плагінів із відомими вразливостями. Або також є варіант зламу акаунтів співробітників — за допомогою фішингових атаки або підбиранняпаролів. Далі є варіант зламу акаунтів у хостера або реєстратора домену — це дає змогу контролювати сайт, змінювати його налаштування, перенаправляти трафік і навіть видалити сайт.
Доступ через FTP і SSH — якщо ці протоколи не захищені належним чином, то стороні можуть отримати повний контроль над сайтом, або ж вони можуть зламати сторонні сервіси, інтегровані в сайт.
Приклади зламів сайтів
Радіохолдинг TAVR Media у липні 2022 року став жертвою кібератаки. Сторонні отримали доступ до програмного забезпечення, яке програмувало мовлення, і поширили неправдиві новини про стан здоров’я президента Зеленського. Наприклад, на радіостанції «Радіо ROKS» прозвучало повідомлення про нібито тяжкий стан президента. Представники TAVR Media заявили у своїх соцмережах, що жодна з поширених новин не відповідає дійсності й Зеленський особисто прокоментував ситуацію.
На українські телеканали холдингу 1+1 media 28 березня 2024 року проросійські хакери здійснили масштабну атаку. В етері вони транслювали пропагандистські матеріали. Наприклад, відео прокремлівської пропагандистки Діани Панченко, яку підозрюють у держзраді.
Фахівці ЦЕДЕМ згадують ще один приклад атаки: у лютому 2024 року невідомі отримали доступ до ресурсів видання NV та опублікували неправдиві статті на сайті та в Telegram-каналі. У статтях ішлося, що російські хакери буцімто відстежували переміщення громадян України, зокрема співробітників силових відомств.
Також хакери транслювали неправдиву інформаційну стрічку на YouTube-каналі телеканалу «Прямий». Запланований текст змінили на наративи російської пропаганди, що США і Президент Зеленський знищують Україну своїми діями. Фахівці телеканалу швидко відреагували, вимкнули рухому стрічку й незабаром відновили її нормальну роботу.
Рекомендації для медіа
- Використовуйте спеціальні програми для виявлення й реагування на кіберінциденти. Скористайтеся інструментом звіт «Проблеми безпеки» від Google Search Console. Якщо системи Google визначать, що ваш сайт зламаний або становить небезпеку, ця інформація буде у звіті. За допомогою технології безпечного перегляду Google щоденно аналізує URL-адреси та виявляє небезпечні сайти.
- Стежте за повідомленнями від хостинг-провайдера. Коли є достатні підстави вважати, що сайт зламано, хостинг-провайдери зазвичай відключають сайт, а потім надсилають електронного листа власнику.
- Повідомте хостинг-провайдера про злам сайту, якщо він це не виявив. Попросіть тимчасово відключити сайт, щоб люди не читали поширювану на зламаному сайті дезінформацію.
- Регулярно створюйте резервні копії даних сайту. Призначте відповідальну особу, яка регулярно перевірятиме можливість відновлення сайту з резервних копій. Перевірку краще проводити в позаробочий час, коли на сайті статистично найменша кількість відвідувачів.
- Розробіть план реагування на кіберінциденти. Чіткий план реагування і відновлення сайту включає процедури комунікації з читачами та іншими сторонами.
- Захистіть інфраструктуру сайту. Користуйтеся мережевими послугами доставлення контенту й захисту від певних типів кібератак. Наприклад, Cloudflare чи Deflect. Не передавайте стороннім жодні конфіденційні дані, пов’язані з роботою вашого сайту.
- Захистіть свої облікові записи в хостера / реєстратора домену. Профілі необхідно захистити складним паролем і двофакторною аутентифікацією.
- Стежте за безпекою сторонніх сервісів. Перевіряйте банерні чи рекламні мережі або сервіси для публікування контенту.
- Створіть «дзеркало» сайту. Дзеркальна копія — це повна копія основного сайту, розміщена на іншому сервері або хостингу. У разі атаки на основний сайт трафік може бути швидко перенаправлений на дзеркальний сайт.
- Навчайте співробітників основ цифрової безпеки. Організуйте курси з інформаційної безпеки для співробітників.
- Будьте прозорими та відкритими. Інформуйте громадськість про кібератаки або спроби маніпуляцій із контентом, співпрацюйте з іншими медіа чи установами для обміну інформацією про потенційні загрози.
- Повідомте уповноваженим установам про випадок зламу. Звертайтеся до Кіберполіції та Урядової команди реагування на комп’ютерні надзвичайні події України.
Читайте також: Цифрова безпека для медійників: чому теза «нікому не потрібні мої дані» небезпечна
DDoS-атаки
Як вони працюють?
DDoS-атака (distributed denial-of-service attack, розподілена атака на відмову в обслуговуванні) — вид кібератаки для порушення роботи сайту, мережі чи інших сервісів, що перевантажує їх фальшивими запитами. Через це виникають збої в роботі сайту.
Вони діляться на об’ємні атаки, що передбачають використання великих обсягів трафіку, щоб заповнити пропускну здатність мережі або пропускну здатність між мережею й інтернетом. Після цього сайт стає недоступним. Також є атаки прикладного рівня — на загальнодоступні програми шляхом надсилання великих обсягів фіктивного трафіку та атаки на рівні протоколу, які вражають мережеві протоколи для перевантаження цільової системи або інфраструктури великою кількістю незавершених запитів. Надмірна кількість незавершених з’єднань вичерпує потужність сервера, і він стає недоступним.
DDoS-атаки часто спрямовують проти українських урядових сайтів та онлайн-медіа, щоб вивести їх із ладу й ускладнити донесення інформації до авдиторії.
Динаміка DDoS-атак
У І кварталі 2022 року кількість DDoS-атак становила менше ніж 50, а в ІІ кварталі — понад 350 атак, за IV квартал їх налічувалося понад 400.
Протягом 2023 року фахівці відзначають зменшення як загальної кількості кібератак, так і DDoS-атак. До ІІІ кварталу 2023 року кількість атак зменшилася з 304 до 180.
З початку повномасштабного вторгнення низка українських медіа й громадських організацій потерпали від DDoS-атак: «Українська правда», dev.ua, «Громадське радіо», «Цензор.НЕТ», «Детектор медіа», «Інститут Масової Інформації», освітня платформа «Prometheus» тощо. Перепадало і сайтам державних установ. За день до повномасштабного вторгнення сайти Верховної Ради України, Кабінету Міністрів України, Міністерства закордонних справ України, Служби безпеки України, Національної поліції України тощо перестали відкриватися протягом певного часу.
Після DDoS-атак сайти стають недоступними на кілька годин, після чого їх функціонування, як правило, вдається відновити.
Рекомендації для медіа
- Відстежуйте свій мережевий трафік. Це допоможе швидко ідентифікувати й реагувати на потенційні атаки.
- Використовуйте хмарний DDoS-захист. Приклади таких сервісів: Project Shield, Cloudflare та Deflect.
- Зменште «поверхню атаки». Дозвольте трафік лише за принципом геолокації. Тоді запити з певних регіонів або IP-адрес блокуватимуться.
- Збалансовуйте навантаження. Рівномірно розподіляйте мережевий трафік на багато серверів у різних місцях.
- Використовуйте метод кешування сайту. У кеш-пам’яті зберігаються копії запитуваного контенту — менше запитів повинні обслуговуватися вихідними серверами.
- Встановіть обмеження швидкості. Це допоможе запобігти перевантаженню серверів великою кількістю запитів одночасно.
- Розробіть план реагування на DDoS-атаки. Визначте відповідальних співробітників і розробіть чіткі інструкції.
- Регулярно навчайтеся. Встановіть зв’язок із національними структурами у сфері кібербезпеки. Наприклад, Урядова команда реагування на комп’ютерні надзвичайні події України (CERT-UA) постійно відстежує й інформує про нові загрози в українському кіберпросторі.
- Беріть участь у національних програмах кіберзахисту. Держспецзв’язку пропонує освітні програми, можливості для професійної сертифікації й нові технічні рішення у сфері кібербезпеки.
- Співпрацюйте з відповідальними органами. Звертайтеся до Кіберполіції та Урядової команди реагування на комп’ютерні надзвичайні події України.
- Скористайтеся доступними державними ресурсами. Для захисту держустанов від DDoS-атак Держспецзв’язку презентувала нові технічні рішення.
- Інформуйте авдиторію. Читачі мають знати про альтернативні платформи споживання інформації.
Глушіння супутникового сигналу
Як це відбувається?
Зловмисники визначають конкретні супутники, наприклад, Astra4A та Hotbird13E, що передають сигнали для цільових українських телеканалів. Далі використовують спеціальне обладнання, здатне відправляти потужніші сигнали на тих же частотах, на яких працюють цільові супутники. Обладнання відправляє шум або інший тип сигналів / перешкод на частоти супутника, які використовують українські канали. Ці перешкоди збивають оригінальний сигнал від супутника й ускладнюють його передачу.
Це вплив дає змогу стороннім впливати трансляцію каналів та замінити контенту пропагандою.
Приклади глушіння каналів
З початку березня 2024 року Росія активізувала процес глушіння супутникового сигналу українських телеканалів, що транслюються через супутники Astra4A та Hotbird13E.
13 березня зафіксована спроба заглушити сигнал супутникових телеканалів «Суспільного мовлення», що транслюються через супутник Astra. Мовнику стало відомо, що сигнал глушили із центру космічного зв’язку «Ведмежі Озера» в Підмосков’ї. Канали заглушили на годину, але згодом їхню роботу вдалося відновити.
17 квітня Росія заглушила трансляцію 39 телеканалів на транспондері «Astra 4A 11766 H». Зокрема канали «1+1 Україна», «1+1 Марафон», «2+2», «ТЕТ», «24 канал», «Kvartal TV», «ПлюсПлюс», «X Sport», «ATR».
9 травня телеканали групи StarLight Media, «Інтер», «Суспільне», «Дім» та «Апостроф ТВ» зазнали хакерських атак. На кількох із них запустили трансляцію параду на Червоній площі в Москві.
Рекомендації для медіа
- Моніторте глушіння. Призначте відповідальну особу, яка в режимі реального часу відстежуватиме статус сигналів і зможе швидко реагувати на будь-які перебої. За ознак глушіння зверніться до CERT-UA.
- Зверніться до свого супутникового оператора. Варто проговорити потенційні заходи для запобігання глушіння.
- Розробіть план дій на випадок глушіння. План дій передбачає використання альтернативних супутників, а також перехід на інтернет-трансляцію або цифровий етер.
- Диверсифікуйте платформи для мовлення. Мінімізуйте залежність від одного каналу розповсюдження інформації — використовуйте інтернет-платформи, цифровий етер тощо.
- Співпрацюйте з правоохоронними органами. У разі фіксування випадків глушіння притягніть до відповідальності винуватців й зверніться до Кіберполіції.