Кібератаки на цифровий простір України: дослідження ЦЕДЕМ

Клонування сайтів, DDoS-атаки та глушіння сигналів. Як кібератаки дестабілізують цифровий простір України під час війни —  дослідження ЦЕДЕМ

Четвер, 5 Вересня, 2024

Дослідження, Середовище

Дар'я Свистуха

Росія продовжує втручатися в український інформаційний простір — клонує та зламує новинні сайти для поширення дезінформації, глушить супутникові сигнали телеканалів для трансляції пропаганди тощо.

Центр демократії та верховенства права у своєму новому дослідженні проаналізував зв’язок між кібератаками та дезінформаційними кампаніями проти України. Фахівці на прикладах пояснили своєрідність різних типів загроз і надали медійникам рекомендації для протидії цифровим небезпекам.

Докладне дослідження дивіться на сайті ЦЕДЕМ, а тут ми зібрали короткі висновки того, що має стати в пригоді медіа. 

Методологія дослідження 

Дослідники охопили часовий проміжок із 1 лютого 2022 року до 31 липня 2024 року. 

Сайти-клони

Як їх створюють?

Фахівці Центру демократії та верховенства права відзначають, що для створення клонів хакери вибирають популярний сайт новин, який викликає довіру в авдиторії, та створюють доменне ім’я для клонування. Воно може відрізнятися від оригіналу лише кількома символами, які пересічна людина не завжди відразу помітить. Наприклад, .net. замість .com. Далі вони працюють над візуальним наповненням сайту й публікацією контенту.

Для контенту зловмисники створюють нові або копіюють статті з російською дезінформацією та пропагандою. Такі публікації намагаються викликати емоційну реакцію авдиторії — страх, розпалити гнів або розчарувати в діях влади. Щоб підвищити рівень легітимності сайту-клону, хакери поширюють неправдиві новини поруч зі справжніми статтями з оригінального сайту, скориставшись інструментами, які автоматично переносять нові публікації з оригінального сайту на сайт-клон.

Покликання у соцмережах на ці статті вони поширюють за допомогою фейкових акаунтів у соцмережах і таргетованої реклами.

Приклади клонування сайтів 

Інтернет-видання Obozrevatel мало сайт-клон з ідентичним дизайном і структурою, проте з іншим доменним ім’ям верхнього рівня — .ltd замість .com. Контент сайту не мав нічого спільного з контентом оригінального Obozrevatel. Він відтворював типові наративи російської пропаганди й дезінформації, наприклад, статтю «Союзники нас зливають: замість допомоги Україні вони перейнялися власною обороною». На справжньому сайті Obozrevatel такої статті не було.

2023 року створили клон «Української правди», що був візуальною копією оригінального видання, навіть використовував ідентичний інтерфейс і логотип. Адреса сайту-клону відрізнялася лише кількома символами й переставленими місцями літерами^ https://pravda-ua.com замість https://pravda.com.ua/

На сайті опублікували щонайменше 14 неправдивих статей, які просували російські наративи, а деякі з них містили покликання на Telegram-канали, які працюють на Росію. Приклад — колонка «Экономика войны: командиры наживаются на смерти солдат», нібито написана журналістом «Української правди» Павлом Казаріним. Але, за словами журналіста, він цю колонку не писав. Керівництво УП надіслало звернення до Служби безпеки України з проханням вжити відповідних заходів, і наразі сайт-клон неактивний.

Рекомендації для медіа

Злам сайтів 

Як це відбувається? 

Зловмисники вибирають популярний ресурс і шукають вразливості в програмному забезпеченні, що використовується для керування контентом сайту. Наприклад, застарілі версії CMS або плагінів із відомими вразливостями. Або також є варіант зламу акаунтів співробітників — за допомогою фішингових атаки або підбиранняпаролів. Далі є варіант зламу акаунтів у хостера або реєстратора домену — це дає змогу контролювати сайт, змінювати його налаштування, перенаправляти трафік і навіть видалити сайт.

Доступ через FTP і SSH — якщо ці протоколи не захищені належним чином, то стороні можуть отримати повний контроль над сайтом, або ж вони можуть зламати сторонні сервіси, інтегровані в сайт.

Приклади зламів сайтів 

Радіохолдинг TAVR Media у липні 2022 року став жертвою кібератаки. Сторонні отримали доступ до програмного забезпечення, яке програмувало мовлення, і поширили неправдиві новини про стан здоров’я президента Зеленського. Наприклад, на радіостанції «Радіо ROKS» прозвучало повідомлення про нібито тяжкий стан президента. Представники TAVR Media заявили у своїх соцмережах, що жодна з поширених новин не відповідає дійсності й Зеленський особисто прокоментував ситуацію.

На українські телеканали холдингу 1+1 media 28 березня 2024 року проросійські хакери здійснили масштабну атаку. В етері вони транслювали пропагандистські матеріали. Наприклад, відео прокремлівської пропагандистки Діани Панченко, яку підозрюють у держзраді.

Фахівці ЦЕДЕМ згадують ще один приклад атаки: у лютому 2024 року невідомі отримали доступ до ресурсів видання NV та опублікували неправдиві статті на сайті та в Telegram-каналі. У статтях ішлося, що російські хакери буцімто відстежували переміщення громадян України, зокрема співробітників силових відомств.

Також хакери транслювали неправдиву інформаційну стрічку на YouTube-каналі телеканалу «Прямий». Запланований текст змінили на наративи російської пропаганди, що США і Президент Зеленський знищують Україну своїми діями. Фахівці телеканалу швидко відреагували, вимкнули рухому стрічку й незабаром відновили її нормальну роботу.

Рекомендації для медіа 

Читайте також: Цифрова безпека для медійників: чому теза «нікому не потрібні мої дані» небезпечна

DDoS-атаки

Як вони працюють? 

DDoS-атака (distributed denial-of-service attack, розподілена атака на відмову в обслуговуванні) — вид кібератаки для порушення роботи сайту, мережі чи інших сервісів, що перевантажує їх фальшивими запитами. Через це виникають збої в роботі сайту.

Вони діляться на об’ємні атаки, що передбачають використання великих обсягів трафіку, щоб заповнити пропускну здатність мережі або пропускну здатність між мережею й інтернетом. Після цього сайт стає недоступним. Також є атаки прикладного рівня — на загальнодоступні програми шляхом надсилання великих обсягів фіктивного трафіку та атаки на рівні протоколу, які вражають мережеві протоколи для перевантаження цільової системи або інфраструктури великою кількістю незавершених запитів. Надмірна кількість незавершених з’єднань вичерпує потужність сервера, і він стає недоступним. 

DDoS-атаки часто спрямовують проти українських урядових сайтів та онлайн-медіа, щоб вивести їх із ладу й ускладнити донесення інформації до авдиторії.

Динаміка DDoS-атак

У І кварталі 2022 року кількість DDoS-атак становила менше ніж 50, а в ІІ кварталі — понад 350 атак, за IV квартал їх налічувалося понад 400.

Протягом 2023 року фахівці відзначають зменшення як загальної кількості кібератак, так і DDoS-атак. До ІІІ кварталу 2023 року кількість атак зменшилася з 304 до 180.

З початку повномасштабного вторгнення низка українських медіа й громадських організацій потерпали від DDoS-атак: «Українська правда», dev.ua, «Громадське радіо», «Цензор.НЕТ», «Детектор медіа», «Інститут Масової Інформації», освітня платформа «Prometheus» тощо. Перепадало і сайтам державних установ. За день до повномасштабного вторгнення сайти Верховної Ради України, Кабінету Міністрів України, Міністерства закордонних справ України, Служби безпеки України, Національної поліції України тощо перестали відкриватися протягом певного часу.

Після DDoS-атак сайти стають недоступними на кілька годин, після чого їх функціонування, як правило, вдається відновити.

Рекомендації для медіа

Глушіння супутникового сигналу 

Як це відбувається?

Зловмисники визначають конкретні супутники, наприклад, Astra4A та Hotbird13E, що передають сигнали для цільових українських телеканалів. Далі використовують спеціальне обладнання, здатне відправляти потужніші сигнали на тих же частотах, на яких працюють цільові супутники. Обладнання відправляє шум або інший тип сигналів / перешкод на частоти супутника, які використовують українські канали. Ці перешкоди збивають оригінальний сигнал від супутника й ускладнюють його передачу.

Це вплив дає змогу стороннім впливати трансляцію каналів та замінити контенту пропагандою.

Приклади глушіння каналів 

З початку березня 2024 року Росія активізувала процес глушіння супутникового сигналу українських телеканалів, що транслюються через супутники Astra4A та Hotbird13E.

13 березня зафіксована спроба заглушити сигнал супутникових телеканалів «Суспільного мовлення», що транслюються через супутник Astra. Мовнику стало відомо, що сигнал глушили із центру космічного зв’язку «Ведмежі Озера» в Підмосков’ї. Канали заглушили на годину, але згодом їхню роботу вдалося відновити.

17 квітня Росія заглушила трансляцію 39 телеканалів на транспондері «Astra 4A 11766 H». Зокрема канали «1+1 Україна», «1+1 Марафон», «2+2», «ТЕТ», «24 канал», «Kvartal TV», «ПлюсПлюс», «X Sport», «ATR».

9 травня телеканали групи StarLight Media, «Інтер», «Суспільне», «Дім» та «Апостроф ТВ» зазнали хакерських атак. На кількох із них запустили трансляцію параду на Червоній площі в Москві.

Рекомендації для медіа

взломи | глушіння сигналу | дезінформація | дослідження | журналісти | кібератаки | Медіа | соцмережі | хакери | ЦЕДЕМ