170213 cyberХакерські атаки, проведені в грудні минулого року на ряд державних та приватних ресурсів ще раз показали не лише підступність ворога, але й неготовність окремих відомств та їх працівників до такого виду посягань. Як це відбувалося та які висновки маємо зробити задля недопущення подібних інцидентів на майбутнє?

 

Людський фактор чи недбалість?

 

Грудень 2016-го ознаменувався масштабними та безпрецедентними хакерськими атаками на сайти українських держорганів, окремих відомств та навіть деяких приватних компаній. Першими нападу зазнали сайти Мінфіну, Держказначейства, Пенсійного фонду та виконавчої служби В середині грудня потерпів сайт Міноборони, а в кінці — Міносвіти. Об’єктами хакерських атак стали також інформсистеми Мінінфраструктури, Укрзалізниці, морського порту «Південний» та НАК «Укренерго».

 

Крім того, тиждень з невідомих причин не працювала фондова біржа ПФТС, на один день в столиці зник сигнал одного з великих інтернет-провайдерів, який заявив про зовнішнє втручання в його мережу. За деякою інформацією, ще декілька компаній, серед яких й два комерційних банки, також піддалися кібернападу, але вирішили не афішувати свої проблеми.

 

В цілому, враховуючи об’єкти та тривалість нападу, грудневу хакерську атаку на українські державні та інфраструктурні ресурси спеціалісти назвали найбільшою за всю історію незалежної України.

 

За даними департаменту кіберполіції НПУ, лише за три тижні грудня 2016 року було зафіксовано щонайменше 25 інцидентів незаконного проникнення в мережі. Втім, офіційні розслідування ведуться лише по факту нападів на Мінфін, Держказначейство, Укрзалізницю та порт «Південний». Решта ж постраждалих або не зверталися до кіберполіції, або не хочуть заявляти про напади публічно з комерційних міркувань.

 

З того, що стало відомо, вбачається не зовсім приваблива картина. Так, найбільший резонанс викликали атаки на фінансову систему. В наслідок хакерського нападу на Мінфін та Держказначейство протягом трьох днів була фактично заблокована сплата до бюджету податків та інших платежів, не працювала електронна система адміністрування ПДВ, спостерігалися збої й у роботі митниці.

 

Як повідомила прес-служба «Укрзалізниці», протягом двох діб була паралізована система електронного документообігу, через що виникли проблеми з бронюванням та продажем електронних квитків. За даними «Укренерго» внаслідок кібератаки на її енергосистеми частина Києва та кілька районів області залишалися деякий час без електропостачання. Загальний обсяг відключення склав приблизно 200 мегават, що становить п’яту частину від обсягу, що споживає столиця за одну ніч.

 

Як повідомив керівник підрозділу кіберполіції Сергій Демедюк, усі атаки мали спільні риси та способи зараження комп’ютерних систем з використанням досить примітивного вірусу. Але його проникненню у внутрішні мережі сприяла, у великій мірі, елементарна неграмотність та безпечність низки співробітників відомств. Як зазначають джерела в кіберполіції, чиновники відомств, які відповідають за кібербезпеку, не провели відповідної роботи з користувачами, які мають доступ до Інтернет-мережі. У підсумку, ця недбалість привела до досить легкого зараження важливих для безпеки держави мережевих структур і ресурсів.

 

До розслідування інцидентів було залучено групу з близько 20 фахівців кіберполіції, які співпрацюють із спеціалістами Держспецзв’язку та приватними фахівцями. Як запевнили у кіберполіції, вже зараз можна стверджувати, що ніяких витоків інформації чи викрадення держреєстрів не було.

 

Рука Кремля?

 

Керівництво держави вбачає в небувалих досі нападах на інформсистеми держорганів «російський слід». Як зазначив одразу після перших нападів секретар РНБО Олександр Турчинов, кібератаки на інформресурси українських держорганів, об'єктів критичної інфраструктури та установ недержавного сектора є ще одним елементом гібридної війни проти України і були сплановані заздалегідь та координувалися з центру, розташованого в РФ. При цьому були використані комп'ютерні мережі, які розташовані в різних країнах. Головним завданням кіберзлочинців була дестабілізація фінансово-банківського сектора України, зриву передноворічних соціальних виплат та блокування бюджетного процесу,- зазначив він.
А Президент України Петро Порошенко на нараді в РНБО в кінці 2016 року, присвяченій кібербезпеці також заявив, що до низки хакерських атак на державні ресурси причетні російські спецслужби. За його словами, з листопада по грудень було здійснено близько 6,5 тис. кібератак на п'ять відомств і 31 державний інформресурси. Розслідування цих інцидентів показало причетність до них безпосередньо, або опосередковано спецслужб держави-агресора.

 

Як зазначив Президент, про хакерські атаки з боrу спецслужб РФ прямо заявляли також США, Німеччина та Швеція, а тепер ця проблема постала і перед Україною. Тому сьогодні наша країна має справу з глобальним викликом безпеки, який РФ кидає усій євроатлантичній спільноті, — заявив Порошенко.

 

Що то було?

 

Як вважають в CERT-UA (спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам Держспецзв’язку), швидше за все зараження жертв грудневих кібератак могло відбутися значно раніше. За їх даними, ще у жовтні 2016 деякі користувачі в установах-жертвах отримували електронні листи з файлом Microsoft Excel, які прийшли нібито від координаторів програм західної донорської техдопомоги. Файл містив перелік рекомендованого IT-устаткування, проте для його коректного відображення в листі пропонувалося запустити макрос — вбудовану макрокоманду, яка вже самостійно могла скачати з мережі на комп’ютер вірус. Після цього, в потрібний момент вірус міг запускатися дистанційно.

 

Варто відзначити, що віруси в макросах — давно відомий спосіб зараження комп’ютерів, однак він спрацював і в даному випадку. Прикро те, що подібна схема була реалізована і при здійсненні атак на низку обленерго у 2015 році, проте, як бачимо, необхідних висновків зроблено не було.

 

Хоча остаточні результати розслідування нападів на обленерго та інші об’єкти інфраструктури у 2015 році ще не відомі, однак слідчі небезпідставно підозрюють у цьому хакерську групу під назвою «Піщаний хробак» (Sandworm, вона ж Quedagh), яка, за даними кіберрозвідки, підтримується спецслужбами Росії. А як ми пам’ятаємо, українська влада тоді також звинуватила у хакерських атаках північного сусіда.

 

Втім, Росія ніяк не відреагувала на закиди української влади щодо причетності до атак на держсайти. Однак, як ми пам’ятаємо, вона також всіляко заперечувала свою ймовірну причетність до спроб втрутитися у вибори президента США та недавніх атак на сайт ОБСЄ.

 

Деякі експерти відмітили дивний збіг у часі початку нападу на українські ресурси і заяви ФСБ РФ про можливий кібернапад з 5 грудня 2016 року на російську фінансову систему. При цьому, у підготовці до кібератаки звинуватили українську хостингову компанію, потужності якої знаходяться в Нідерландах.

 

Нагадаємо, відповідно до заяви зазначеної російської спецслужби, кібернапад повинен був супроводжуватися масовими розсиланнями «провокаційних» SMS-повідомлень і публікаціями в соцмережах та блогах про кризу кредитно-фінансової системи Росії, банкрутство та відкликання ліцензій у ряду провідних банків федерального і регіонального значення. У ФСБ тоді заявили, що проведуть необхідні заходи для нейтралізації загроз, але, як бачимо, все вийшло навпаки.

 

Слід зазначити, що деякі експерти в сфері ІТ схиляються до думки, що грудневі атаки насправді не мали на меті спричинити значної шкоди, а радше нанести удар по репутації окремих відомств і держави в цілому, як нездатних протистояти кібервикликам. Зокрема, такої точки зору дотримується президент інвестиційної компанії Internet Invest Group Олександра Ольшанський, який вважає ці атаки швидше іміджевими, здійсненими, щоб показати неспроможність держави захистити свої електронні ресурси.

 

Між іншим, серед версій атаки на Мінфін у самому відомстві називають не лише зрив бюджетного процесу, але й впровадження деяких нововведень, зокрема, передачі під адміністрування Мінфіну баз даних платників податків від ДФС. «Поклавши сайт відомства, тим самим хакери показали нібито його неспроможність захистити зазначені бази даних,- вважають там.

 

Що ж, цілком можливо, що мотиви кібератак на Мінфін і Держказначейство приховуються саме в цій площині.

 

Як би там не було, але на сьогодні ще недостатньо інформації, щоб робити остаточні висновки — це справа слідства. Але враховуючи сьогоднішню ситуацію, в якій знаходиться Україна, навряд чи можна сумніватися, хто найбільш зацікавлений у дестабілізації усіх сфер діяльності громадян і держави.

 

Діяти на упередження

 

Зусиллями фахівців з кібербезпеки звичайний режим функціонування уражених комп'ютерних та інформаційних систем все ж було відновлено. Попередній аналіз по гарячих слідах показав, що інформресурси, які були підключені до державної системи кіберзахисту, залишились непошкодженими. Однак, як виявилося, на сьогодні значна кількість інформресурсів держорганів й досі не під’єднані до цієї системи. Причина — відсутність відповідного фінансування.

 

Як зазначив секретар РНБО, те що відбулося показало необхідність невідкладного виділення необхідного фінансування для розвитку державної системи кіберзахисту та внесення відповідних поправок у держбюджет-2017 року. Варто відзначити, що уряд оперативно відреагував на ситуацію і вже через два дні після початку атак виділив по 40 млн грн Мінфіну та Держказначейству на заходи з термінового оновлення ІТ-обладнання.

 

Однак у експертному середовищі вважають, що однією лише модернізацією «заліза» проблему кібербезпеки не вирішити. Необхідно провести термінові заходи з підвищення комп’ютерної грамотності держслужбовців та вивчення обов’язкових правил безпечної роботи в Інтернеті. І звичайно, потрібно запрошувати на роботу кваліфікованих спеціалістів з комп’ютерної безпеки, пропонуючи їм не «копійки», а насправді високі зарплати. Тоді можна буде попереджати подібні грудневим атаки, а не лише виправляти їх наслідки.

 

Тож висновки повинні бути зроблені всіма, хто відповідає за кібербезпеку держави та її органів на усіх рівнях. У нас немає часу на «биття по хвостах», бо це може обійтися занадто дорого. Діяти потрібно на упередження і бути готовим до нових атак, які неодмінно будуть, і не факт, що на такому ж примітивному рівні. Протистояти їм можна буде лише підвищивши стійкість системи захисту та провівши необхідні заходи з навчання користувачів протидії несанкціонованому проникненню у їх персональні комп’ютери.

 

Олександр Виноградський

 

! При використанні вмісту сайту обов’язковим є активне гіперпосилання на defence-ua.com, що не закрите від індексації пошуковими системами

Переклад

ukarzh-TWenfrdeitptrues