Ахіллесові п’яти українського кіберзахисту
Хто стоїть за цифровими атаками на урядові сайти?
Хакери знову перевірили український інфопростір на міцність. Цього разу під удар потрапили урядові сайти — вони на тривалий час “лягли”, оголивши слабкі місця національної цифрової безпеки. СБУ заявила про розслідування причетності спецслужб РФ до кібернападу. Хто стоїть за кібератаками і чи можна було їх уникнути?
“Бійтеся та чекайте гіршого”
У ніч на Старий новий рік, 14 січня, понад 15 державних урядових сайтів зазнали масштабної хакерської атаки. Під удар потрапили сайти Міністерства закордонних справ, Міненерго, Мінагрополітики, Міністерства охорони здоров’я, Міносвіти, Міністерства молоді та спорту, Держказначейства, портал “Дія” тощо, робота цих ресурсів тривалий час була паралізована.
Атакували і сайт Нацбанку, проте, як переконують у регуляторі, усі спроби вдалося нейтралізувати. Зранку ж 17 січня хакери атакували форум Prozorro Infobox. На щастя, атака не вплинула на роботу системи закупівель Prozorro, повідомила пресслужба Держслужби спецзв’язку.
На сайтах зловмисники на чорному тлі опублікували перекреслені іконки з Гербом, Прапором і картою України, а також профілем свині, й оприлюднили загрозливі повідомлення трьома мовами — українською, російською та польською. “Всі дані на комп’ютері знищуються, відновити їх неможливо. Вся інформація про вас стала публічною, бійтеся та чекайте гіршого. Це Вам за ваше минуле, сьогодення і майбутнє. За Волинь, за ОУН-УПА, за Галичину, за Полісся і за історичні землі”, — погрожували кіберпірати.
Розслідуванням інциденту зайнялися Служба безпеки України, Держспецзв’язку та департамент кіберполіції Нацполіції. В СБУ та Міністерстві цифрової трансформації відразу заспокоїли, що витоку даних не сталося.
17 січня у Держспецзв’язку повідомили: майже всі сайти, які постраждали від кібератаки, вже працюють. Розслідування та робота над відновленням решти ресурсів триває. Робоча група залучила міжнародних експертів для достовірного встановлення джерела походження атаки, — повідомили у відомстві.
Microsoft: сталося масштабне пошкодження серверів
Ймовірно, хакерська атака в ніч з 13 на 14 січня відбулася централізовано через одну приватну ІТ-компанію, яка створювала всі ці сайти. Сценарій нападу на державні інформаційні ресурси нагадує кібератаку 2017 року через програмне забезпечення M.E.Doc, — інформує „Економічна правда”.
Центр розвідки загроз Microsoft (MSTIC) виявив шкідливе програмне забезпечення, яке використовувалося під час хакерської атаки на урядові мережі України. ПЗ втрутилося в роботу жорстких дисків заражених пристроїв. Про це повідомляють на сайті компанії. За їхніми словами, воно замасковане під програму-вимагач, проте не призначене для отримання викупу, а виводить пристрої з експлуатації при активації.
Шкідливе ПЗ вже виявлено у десятках постраждалих систем, проте їх кількість може збільшитися під час продовження розслідування.
У переліку заражених — системи державних органів, некомерційних організацій та інформаційно-технологічних компаній в Україні.
У дослідженні компанії також йдеться, що Microsoft поки що не виявила значної схожості хакерів, які стояли за атакою на Україну, з іншими групами кіберзлочинців, яких відстежує компанія.
Урядові експерти: атака походить із Росії
Урядові експерти доводять, що хакерську атаку на українські урядові сайти вночі 14 січня було вчинено з Росії. Про це йдеться в дослідженні Центру стратегічних комунікацій та інформаційної безпеки.
“Днями Москва відновила військові навчання біля кордонів України. Хакерські дії на українські держоргани можуть бути частиною психологічної атаки на українців”, — наголосили в Центрі.
За даними фахівців Центру, на російський слід вказує і хронологія поширення новини. Спочатку інформація з’явилася в соцмережах, далі — у “зливних бачках”, а потім її активно поширили російські видання. Зокрема, одним із перших о 4-й ранку (за київським часом) про атаку повідомило російське провладне видання “РІА”.
Урядові експерти пояснили, що використання чутливих тем з історії польсько-українських стосунків повинно було замаскувати слід російських хакерів.
Однак текст польською містить стилістичні неточності та лексичні помилки, що підтвердили українським кіберфахівцям і польські колеги (зокрема в посланні українцям, яке кіберзлочинці залишили на сайті Міністерства закордонних справ, версія польською мовою видає, що ті, хто його писав, не є носіями мови. Як пише ”Європейська правда”, на це звернули увагу журналісти польського видання Wprost).
У Центрі нагадали, що остання подібна хакерська атака на сайти українських громадських організацій та медіа трапилася після застосування Українською армією безпілотників “Байрактар” проти російських бойовиків на Донбасі в жовтні 2021 року.
Крім того, урядові експерти наголосили, що особисті дані громадян України не було вкрадено та втрачено, усупереч повідомленню хакерів.
Україна виявилася погано підготовленою
Українські експерти вважають, що з огляду на попередні атаки Україна виявилася погано підготовленою, — повідомляє DW. “Посилення звелося до декоративних заходів на кшталт перейменування кіберцентрів або збільшення штатів установ, що надають рекомендації”, — каже експерт з кібербезпеки Костянтин Корсун. Він вважає, що, попри допомогу Заходу, рівень підготовки виявився “неефективним”.
Про те, що нова атака виявила слабкі сторони українського кіберзахисту, говорить і Віталій Якушев, директор однієї з профільних приватних компаній. “Держслужба спецзв’язку повідомила, що злом стався через вразливість, про яку було відомо давно, проблем зламати ці сайти не було”, — вважає Якушев. На його думку, метою атаки була радше демонстрація сили, аніж завдавання збитків.
Cпеціаліст у сфері кібербезпеки Андрій Баранович на запитання „ЕП”, за яким принципом були обрані сайти для атаки, розповів:
„Принцип дуже простий: вони всі працювали на одній і тій самій не оновленій версії програмного забезпечення. У ньому була знайдена вразливість у травні 2021 року, і за сім місяців ніхто в жодному з міністерств і відомств, які зазнали атаки, не спромігся оновити ПЗ. Навіть більше: якби софт був налаштований правильно, тоді можна було б навіть не оновлювати ПЗ — вразливість не подіяла б. Але ПЗ було не налаштоване і не оновлене”.
„Я підозрюю, що міністерство замовляє собі сайт, фірма-підрядник створює його, встановлює, налаштовує, і на цьому робота завершена, за підтримку сайту не платять. Я не можу знайти іншу причину, чому в центральних органах влади сім місяців не оновлюється софт, коли відомо, що в ньому є діра”, — дивується експерт.
Микита Книш, генеральний директор та співзасновник компанії HackControl прокоментував „Економічній правді”: „Ця кібератака вкотре повністю дискредитує систему кібербезпеки України. (…) Коли до нас приходила кіберполіція, ми казали, що є великі проблеми з кібербезпекою державних ресурсів, ми пропонували безкоштовно їх протестувати. Ми попереджали, що в разі початку війни таким же чином будуть іти повідомлення про мінування установ, організацій, об’єктів критичної інфраструктури.
Усе відбувається чітко за сценарієм, про який адекватні люди попереджали всі міністерства заздалегідь.
Спочатку йде атака, ціль якої — вичерпати всі ресурси силових відомств у Києві, тобто фейкові мінування. Наступним кроком є поширення паніки, тобто проведення спеціальних інформаційних операцій. Усе це — частина гібридної війни. Сьогодні, мабуть, відбулася друга частина спеціальної інформаційної операції. Її ціль — показати, що ваша кібербезпека на нулі. І третя частина — це зазвичай повномасштабне вторгнення. У всякому разі так було у 2014 році”, — вважає експерт.
„Я підкреслюю, що це просто публічне приниження. Чи зачіпає це критичну інфраструктуру? Ні. Сайт можна відновити з резервної копії і виправити вразливість за 15 хвилин. Як забезпечити захист? Оскільки в нас все централізоване, потрібно децентралізувати управління ІТ-системами”, — каже фахівець із кібербезпеки.
Ретроспектива масштабних хакерських атак на Україну
Грудень 2015 року
За допомогою троянського програмного забезпечення BlackEnergy три невстановлені хакери 23 грудня 2015 року вивели з ладу частину енергосистеми України. Вони атакували комп’ютери “Прикарпаттяобленерго”. У результаті було вимкнено майже 30 підстанцій. Близько 230 тис. громадян упродовж однієї-шести годин були без електроенергії.
Грудень 2016 року
Організована група хакерів проникла у телекомунікаційні мережі Міністерства фінансів, Державної казначейської служби та Пенсійного фонду. Вона вивела з ладу низку комп’ютерів та знищила критично важливі бази даних, що стосуються роботи Держказначейства та Пенсійного фонду. У результаті 7 грудня 2016 року було заблоковано проведення обов’язкових платежів на сотні мільйонів гривень Держказначейством та Пенсійним фондом. Платежі проходили із затримками або не проходили взагалі, не працювали сайти Міністерства фінансів та Держказначейства.
Червень 2017 року
Напередодні Дня Конституції сталася найбільша за всю історію України кібератака на комп’ютерні системи фінансових установ, енергетичних підприємств, засобів масової інформації, об’єктів транспорту та інфраструктури, телекомунікаційних мереж та інших великих організацій. Потрапивши в комп’ютер, вірус Petya.A зашифровував усі дані та вимагав заплатити 300 дол. у криптовалюті Bitcoin. Після переказу коштів зловмисники обіцяли надіслати ключ до шифру.
Від тієї кібератаки постраждали понад сто компаній. Серед них — Ощадбанк, “Укрпошта”, “Нова пошта”, “Укренерго”, “Укртелеком”, Міністерство інфраструктури, Міненерговугілля, “24 канал”, телеканали “Інтер” та “Перший національний”.
Підготувала Світлана ПАВЛИШИН
