У вересні 2020 року було зафіксовано перший у світі випадок смерті, спричинений вірусом-вимагачем (ransome-ware). Лікарня в німецькому місті Дюссельдорф не змогла прийняти пацієнтку через те, що комп’ютери цієї установи були заражені вірусом, тож вона не приймала нових відвідувачів. Жінку довелося везти за 32 км у іншу лікарню, це транспортування вона не пережила і померла по дорозі. Попри те що зловмисники, які атакували лікарню, передали адміністрації ключі для дешифрування, на відновлення роботи інформаційної системи та запуск мережі знадобився певний час.
Історія про жертву вірусу-вимагача з Німеччини приголомшує тому, що лікарі та медична система виявилися заручниками роботи комп’ютерів та інформаційних мереж. Не менше вражає усвідомлення, що ця історія може стати реальністю для багатьох країн світу.
Вірус-вимагач (ransomware) або вірус-шифрувальник — це шкідлива програма, різновид комп’ютерного вірусу, який зловмисник встановлює на пристрій жертви за допомогою різних методів (фішингових сайтів, електронної пошти чи повідомлень у соцмережах). У певний момент ransomware-програма активується, зашифровує вміст жорсткого диску, в деяких випадках блокує роботу комп’ютера та відображає повідомлення про потребу викупу. Зловмисники обіцяють, що після отримання викупу (найчастіше в криптовалюті) передадуть жертвам інструменти для розшифрування даних.
Читайте також: Кіберпартнерство: об’єднання держави та бізнесу заради спільної безпеки
Як пояснив в коментарі Тижню голова ГО «Електронна республіка» та експерт із електронного урядування Євген Поремчук, комп’ютеризована критична інфраструктура завжди була ласим шматком для хакерів ще до появи інтернету і, власне, самого слова «хакер». Він нагадав про історію з сибірським нафтопроводом 1982 року. Тоді група хакерів змогла встановити троян у SCADA-систему, яка контролювала роботу нафтопроводу, що призвело до потужного вибуху. «З появою інтернету кіберзлочини стали масштабнішими й інтернаціональнішими», — зазначив він. У новітній історії є випадки компанії Chevron (1992), аеропорту Worcester (1997), злам трамвайної мережі у польському Лодзі (2006) або навіть злитих даних 30 тис. працівників гіганта Saudi Aramco (2012). «Історія зі зламами та атаками не нова. Та питання в іншому: чи змогли держави та компанії за стільки років повністю захиститись від таких зламів?» — зауважує Поремчук.
Віруси-вимагачі стали майже звичним явищем сьогодення. Проте усвідомлення серйозності загрози та рівня залежності життя суспільства й функціонування держави та її інституцій від комп’ютерів та інформаційних систем не змінилось із часів усім відомого вимагача Petya.A. Понад те, зважаючи на впевненість українських можновладців у «перебільшенні ролі кібербезпеки», не буде гіперболою твердження, що Україна сидить на пороховій діжці незахищених інформаційних систем. На щастя, по-справжньому серйозного інциденту ще не сталося. І це лише тому, що для авторів ransomware існують інші, набагато цікавіші об’єкти для атак, що теоретично можуть забезпечити їх більшим заробітком. Адже, за даними компанії Group-IB, саме віруси-шифрувальники приносять найбільший фінансовий збиток (див. «Беззахисний світ»).
Проте важливо розуміти, що ініціаторами таких нападів можуть бути не лише зловмисники, які просто прагнуть наживи. Ризиком для України є хакери, які працюють на ворожі для нас режими та зацікавлені в руйнуванні систем життєзабезпечення чи фінансової системи нашої держави. Тож в умовах гібридної війни та незахищеності нашої інфраструктури серйозні атаки можуть стати лише питанням часу.
Цю ситуацію пояснили в своїх коментарях Тижню експерти з кібербезпеки. Так, за словами радника з питань безпеки, співголови Консультативної ради по питаннях міжнародної безпеки OSAC Україна (Oversea Security Advisory Council) Сергія Грабського, в сучасному світі, коли війна в кіберпросторі набирає обертів, «Україна є дуже вразливою до атак на критичну інфраструктуру». Як зазначив експерт, не завжди можна заздалегідь передбачити та оцінити їхні наслідки. З цим погодився і експерт із цифрової безпеки ГО «ІнтерньюзУкраїна» Павло Бєлоусов. Він пояснив, що серйозніші проблеми внаслідок ransomware-атак можуть виникнути, якщо метою зловмисників буде не отримання грошей (викуп), а саме завдання максимальної шкоди та збитків. Своєю чергою, директор та засновник компанії Berezha Security Group Володимир Стиран упевнений, що наразі для України такі атаки не дуже актуальні у великих масштабах, тому що в держави просто немає грошей на викупи. Проте він підкреслив, що «Україна цікавить Росію виключно в геополітичній площині, як плацдарм для проєкції своїх претензій та демонстрації сили».
Вірус, м’ясо та бензин
7 травня 2021 року на інформаційну систему, що обслуговувала американський трубопровід Colonial Pipeline, була здійснена ransomware-атака. Цей напад зупинив роботу трубопроводу на п’ять днів. Трубопровід завдовжки 8,9 тис. км, що забезпечує близько 45% палива на Східному узбережжі США, перестав працювати. Атака прямо чи опосередковано зачепила 17 штатів.
Це спричинило великі незручності для пересічних громадян та черги на заправних станціях — понад 85% АЗС відчули дефіцит пального. У країні було оголошено надзвичайний стан, серед запроваджених заходів — послаблені норми перевезення пального та дозвіл водіям компаній-перевізників, що його транспортували, довше перебувати на робочому місці. Незважаючи на це, на багатьох нафтопереробних заводах накопичилися значні запаси палива, які не могли доставити кінцевим споживачам.
Менш як за місяць, 2 червня, найбільша у світі м’ясопереробна компанія JBS також стала жертвою кібератаки, організованої за допомогою вірусу-шифрувальника. Внаслідок зламу комп’ютерних мереж компанії перестали працювати її заводи в різних країнах світу — в Австралії, Канаді, США. За атакою на JBS стояли угрупування REvil та Sodinokibi. Країна їхнього походження невідома, проте представник хакерів публікує багато повідомлень російською мовою. Компанія JBS виплатила хакерам викуп у розмірі $11 млн у криптовалюті за усунення наслідків кібератаки. Представники Colonial Pipeline заплатили викуп у розмірі $4,4 млн. Атаку на трубопровід здійснили представники угрупування DarkSide. Експерти не володіють інформацією щодо місцезнаходження його учасників, проте стверджують, що, найімовірніше, ті розуміють російську мову, тож не виключено, що вони пов’язані з Росією або країнами колишнього СРСР.
Як працює цифровий «гоп-стоп»
Компанія JBS не повідомила технічні деталі атаки. Що стосується нападу на Colonial Pipeline, то згодом стало відомо, що доступ до мережі зловмисники отримали завдяки втраті пароля, який з’явився в дарквебі внаслідок одного з численних витоків даних.
Окрім того, за даними лондонської компанії з кібербезпеки Digital Shadows, угрупування DarkSide діє як спільнота, учасники якої створюють програми для шифрування та зламу, потім навчають цьому інших і отримують частину викупу або здійснюють атаку на замовлення. Ця модель отримала назву «вимагач-як-послуга» (ransomware-as-a-Service, RaaS). Вона передбачає оренду вірусу-шифрувальника, послуги ботнету (мережі з великої кількості пристроїв, часто теж заражених вірусом) для доставки небезпечного ПЗ та інструменти управління ними. Популярність моделі RaaS вибухово зросла після атак шифрувальників WannaCry та Petya 2017 року.
Читайте також: PEN America: Цифровий суверенітет може бути зброєю масового контролю
Завдяки моделі RaaS будь-який користувач, не хакер і не фахівець із безпеки, може замовити послугу зараження свого супротивника, конкурента чи просто випадкової жертви. Понад те, послуги RaaS не є захмарно дорогими. Існують пропозиції вартістю в декілька десятків євро. Все це призвело до розширення бази клієнтів RaaS-моделі та створення цілого ринку заробітку розробників ransomware-додатків.
Ураження найважливішого
У лютому 2021 року у Франції відкрили провадження після атаки на одну з лікарень. Цього року жертвами ransomware стали розробник комп’ютерів Acer, мережа клінік Scripps Health, компанії Fujifilm, Sierra Wireless, Toshiba. Минулого року постраждали підрядник Apple тайванська компанія Foxconn, фірми Xerox, Canon, Honda, Garmin та багато інших компаній. Як зазначив Поремчук, наприкінці весни Positive Technologies повідомила про те, що її експерти проаналізували кіберзагрози 2020 року і з’ясували, що порівняно з 2019-м кількість інцидентів на промислових підприємствах збільшилася на 91% (!), а атак із використанням вірусів-шкідників — на 54% (!). «На першому місці за кількістю атак із використанням шифрувальників виявилися медичні установи», — додав експерт.
У лютому 2020 року була зафіксована ransomware-атака на американського оператора газопроводу. Назва жертви тоді не повідомлялась, але відомо, що компанія призупинила роботу на два дні, а потім відновила свою діяльність. Перші дні липня принесли звістку про нові атаки. До прикладу, один із найбільших ритейлерів Швеції закрив близько 800 магазинів по своїй країні після потужної кібератаки.
Окрім вимагачів, додатковою проблемою для фахівців з кібербезпеки стали атаки на ланцюги поставок. Це нова форма зламу, в ході якої зловмисники вставляють небезпечний код у надійне програмне забезпечення, що його використовує жертва. Скомпрометувавши одного постачальника, зловмисники можуть перехопити управління інформаційними системами, вивести їх із ладу або перетворити на розповсюджувачів свого небезпечного ПЗ.
Атаки 2021 року небезпечні своїм масштабом та жертвами — вперше в американській історії такі злочини вплинули на компанії та об’єкти, що забезпечують функціонування американського суспільства. JBS — це приватна компанія, хоча й один із найбільших постачальників м’яса у світі, Colonial Pipeline — теж приватна структура, хоча її можна зарахувати до об’єктів критичної інфраструктури. Зазвичай до таких об’єктів належать системи постачання енергії, води, газо- та нафтопроводи, аеропорти, комунікаційні системи, лікарні, комунальні, аварійні, рятувальні служби та багато інших служб, систем та установ.
Відповідно, атаки на приватні компанії, нехай навіть на лідерів ринку, — це проблема топ-менеджменту, постачальників та клієнтів цієї компанії. Атаки ж на об’єкти критичної інфраструктури — це фактично напад на державу, що може мати значно серйозніші наслідки. Саме тому масштаб та жертви атак вірусів-шифрувальників цього року викликали доволі жорстку реакцію уряду США.
Читайте також: Фіктивні лицарі приватності
У жовтні 2020 року американське Управління з контролю за іноземними активами Міністерства фінансів США (OFAC) заборонило виплачувати викуп ініціаторам ransomware-атак. В повідомленні американського регулятора йшлося про те, що виплата організаторам, проти яких діють санкції США, вважатиметься порушенням цих санкцій та може призвести до судового позову чи до штрафу.
Реакція червня 2021 року була ще жорсткішою. Американський Мін’юст назвав ransomware-атаки актом тероризму. Ця класифікація стала прямим наслідком атак на Colonial Pipeline та JBS. Відповідно, виплати вимагачам можуть розцінюватися як фінансування тероризму. Це означає, що розслідування вірусних атак отримає такий самий пріоритет, як і тероризм, і ці розслідування підпорядковуватимуться спеціальній групі у Вашингтоні. Приховати факт атаки чи відбутися простим викупом у таких умовах уже не вдасться, а обмін інформацією між жертвами та координація зусиль дасть змогу краще протидіяти зловмисникам.
На додачу, Міністерство національної безпеки США повідомило, що оператори об’єктів критичної інфраструктури мають провести інвентаризацію своїх заходів щодо захисту від кібератак та створити посаду відповідального за кібербезпеку, який повинен бути доступним цілодобово. Цікаво, що за декілька днів до травневої атаки на Colonial Pipeline президент Джо Байден підписав розпорядження про посилення заходів щодо федеральної кібербезпеки та захисту США від хакерських атак.
Хоча на Європу припадає лише 20% атак вимагачів, зловмисники виявляють інтерес до зламів європейських компаній. До прикладу, в останні дні червня 2021 року стало відомо про масштабну кібератаку на банки та фінансову інфраструктуру Німеччини. Його організатором нібито стала група хакерів Fancy Lazarus, пов’язана з Росією.
Сучасні кібервійни
Одну з найуспішніших атак на критичну інфраструктуру організували американські та ізраїльські спецслужби. Саме їм приписують створення вірусу Stuxnet, що вразив промислові системи. Унікальність цього вірусу полягала в тому, що він уперше в історії людства фізично руйнував інфраструктуру. Цей вірус заразив комп’ютери, що управляли урановими центрифугами на іранському заводі, який займався збагаченням урану. Вірус пришвидшив їхню роботу до максимальних показників, водночас відображаючи на екранах інженерів нормальні показники, що дало змогу вивести обладнання з ладу і значно затримати розвиток ядерної програми Ірану.
У грудні 2020 року було зафіксовано злам декількох американських офіційних установ та урядових агенцій внаслідок вразливості в програмному комплексі SolarWinds — саме цей напад став першою найпотужнішою атакою на ланцюжок поставок. Він був організований хакерським угрупуванням АPT29 (ще відомим як Cozy Bear), яке працює на спецслужби Росії (ФСБ або СЗР РФ). За результатами розслідування ця атака була названа розвідувальною операцією, після чого була зроблена офіційна заява про те, що Росія є найбільшою загрозою для США у кіберпросторі.
Підготовка фахівців для ведення кібервійн і в США, і в Китаї не є секретом. Тож атаки на критичну інфраструктуру є відпрацьованим варіантом ведення таких війн і найближчим часом можуть ставати частішими та агресивнішими.
Український вимір
Україна переживала декілька потужних атак на інформаційні системи. Найвідомішою стала атака із застосуванням вірусу-шифрувальника Petya.A, внаслідок якої було заблоковано роботу аеропорту «Бориспіль», «Укрпошти», «Укртелекому», «Ощадбанку», «Укрзалізниці» та багатьох великих державних компаній та офіційних установ. Декілька експертів зазначили, що, найімовірніше, Petya був замаскованим під шифрувальника, а його справжньою метою було завдання шкоди українському уряду. Цим почасти пояснювався той факт, що вірус почав свою руйнівну діяльність напередодні Дня Конституції, 27 червня 2017 року.
Читайте також: Валентин Петров: «Я не знаю жодного випадку витоку інформації саме із захищених урядових мереж»
Не менш небезпечною, але унікальнішою в глобальному масштабі стала кібератака на енергетичні компанії України. Таких атак було декілька. Перша відбулася наприкінці грудня 2015 року, і вона стала першою у світі кібератакою на енергетичну систему з подальшим виведенням її з ладу. Внаслідок атаки постраждали «Прикарпаттяобленерго», «Чернівціобленерго» та «Київобленерго». Було відключено десятки підстанцій, а сотні тисяч людей залишалися без електрики, часом відключення тривало й по шість годин. В лютому, а потім у грудні 2016 року була зафіксована повторна атака на «Укренерго» та на «Київенерго» відповідно. Тоді її вдалося усунути за трохи більше як годину.
Євген Поремчук схарактеризував ситуацію так: «Стратегічні пріоритети нашої національної безпеки, звичайно, включають захист інфраструктури, відмова якої здатна вплинути на роботу життєво важливих об’єктів. І те, що ми поки що не маємо кричущих фактів збоїв життєво важливих служб, може говорити про те, що певний рівень державного і корпоративного кіберзахисту у нас почасти існує». Водночас, на його думку, з часом посилюватиметься тенденція щодо взаємодії всіх типів інфраструктури, реєстрів та служб, що збільшуватиме потенційну кількість точок проникнення на критичні об'єкти. «Найбільше мене турбує бездумна цифровізація на догоду популістичним ідеям без базових реформ, що може призвести до втрати контролю над персональними даними громадян, процесами, у тому числі нотаріальними діями, та розквіту рейдерства», — наголосив експерт.
Своєю чергою, Павло Бєлоусов впевнений, що насправді ситуація в Україні є складною. На його погляд, основними джерелами проблем є застарілі підходи, корупція та непрозорість, неможливість залучення провідних спеціалістів або розробників та низька обізнаність людей у проблемах кіберзахисту. При цьому питання, що стосуються людей, експерт вважає найголовнішими, адже на технічному рівні є можливість доволі швидко щось придбати та впровадити. Тоді як навчити людей чи змінити їхні звички й підходи — не так легко та зовсім не швидко. «Справді, з приходом технологій в нові сфери кіберзлочинів стає більше, але в дев’яти випадках із десяти проблемою є людський фактор: забув, не знав, не помітив, полінувався, не подумав», — зазначив він.
Як захиститися
Пересічній людині захиститись від атак на критичну інфраструктуру — до прикладу, якщо в країні перестануть працювати банкомати чи відімкнеться електрика, — практично неможливо. Водночас, як показала історія вірусу Petya.A, випадковими жертвами атаки можуть стати звичайні користувачі, яких вектор атаки зачепив опосередковано. На думку Бєлоусова, важливо розуміти, що кіберзагрози — абсолютно реальні. Він вважає, що руйнівний вірус Petya.A не завдав би шкоди, якщо б виконувалися бодай два з цих базових правил: оновлене програмне забезпечення та наявність резервних копій. Тож, на думку експертів, важливо дотримуватися певних правил для пересічних користувачів та власників малого бізнесу щодо того, як жити, користуватись інтернетом та працювати в таких умовах.
Рекомендації з кібергігієни:
• Не відкривайте листи, на які не чекали, та не завантажуйте вкладення. Не довіряйте телефонним дзвінкам і повідомленням про виграш мільйонів, за отримання яких треба заплатити.
• Користуйтесь ліцензійним антивірусом та ввімкніть брандмауер.
• Налаштуйте «батьківський контроль» на пристроях своїх дітей. У дітей до 18 років не може бути «власного життя» у мережі.
• Робіть покупки тільки на перевірених сайтах. Не діліться персональною та фінансовою інформацією з неперевіреними людьми та системами.
• Зробіть резервну копію всієї критичної інформації на інший пристрій.
• Використовуйте унікальний надійний пароль на кожен окремий акаунт та налаштуйте двофакторну аутентифікацію.