Атака на державні сайти у ніч з 13 на 14 січня стала загадковим прецедентом для обговорення стану готовності України до кібервійни. Досі незрозуміло, скільки насправді ресурсів постраждало – повної картини не можуть намалювати ні держоргани, ні незалежні експерти.
У ніч зламу відбулись два типи атак – дефейс (зміна контенту із розміщенням на ресурсах неправдивої інформації) кількох сторінок веб-представництв державних органів. Це ті повідомлення про "Галичину, Волинь та Полісся", які мали на меті збити слід хакерів. Її наслідки можна виправити відносно оперативно. Інший тип атаки – знищення інформації із баз даних. Від цього постраждав реєстр МТСБУ ( Реєстр Моторного (транспортного) страхового бюро України, – Ред.).
Як повідомила Державна служба спеціального зв'язку та захисту інформації України, реєстр, який містить персональні дані мільйонів українських автовласників, не ушкоджено, відбулася лише втрата доступу до інформаційних ресурсів. 19 січня Держспецзв'язку повідомила, що реєстр повністю відновив роботу завдяки "бекапам" (резервному копіюванню даних на іншому носії).
Водночас йшлось про пошкодження ще низки ресурсів, яких саме – не зазначалось. У повідомленні йдеться, що фахівці CERT-UA опрацьовують інформацію про шкідливий вірус-шифрувальник від Центру аналізу загроз корпорації Microsoft (MSTIC). "Протягом п'ятниці справді були зафіксовані поодинокі випадки активності подібного програмного забезпечення, проте пов'язувати їх з основною кібератакою є передчасним", – пише Служба.
Читайте також: Що робити в разі хакерської атаки. Інструкція від кіберполіції
Повідомлення MSTIC опубліковане у блозі Microsoft 15 січня. Йдеться про вірус із кодом DEV-0586, який за словами представників компанії, не пов'язаний із іншою активністю, що відбувалась у ніч зламу. У ході розслідування Microsoft виявили багато заражених систем, при цьому, до кінця повного розслідування невідомо, яка їхня точна кількість. Тобто постраждати могли реєстри або інформаційні ресурси численних українських інтитуцій. "Наразі на основі видимості Microsoft, наші слідчі групи виявили зловмисне програмне забезпечення в десятках уражених систем, і ця кількість може зрости в міру продовження нашого розслідування. Ці системи охоплюють декілька державних, некомерційних та інформаційно-технологічних організацій в Україні", – йдеться у блозі.
Фахівець з інформаційної безпеки, директор компанії з кібербезпеки Berezha Security Костянтин Корсун у коментарі Тижню зазначив, що атака нагадує за алгоритмом вірус NotPetya, що став причиною низки атак у червні 2017 року, коли зламали сервер оновлень бухгалтерської програми M.E.Doc. Тоді якраз використовували програму-вайпер.
Різниця між цими випадками в тому, що сервіси-вимагачі, потрапивши на сервер, шифрують усі дані, які знаходить за певними критеріями. Потім пропонують їх розшифрувати за гроші й надсилають код для цього автоматично. Після викупу файли відновлюються – так працює комерційний Ransomware – вірус-вимагач.
Проте вайпери, від слова витирати (to wipe), просто знищують дані, але можуть прикидатись вимагачами. У випадку із NotPetya користувачам надсилалась адреса біткоїн гаманця, куди жертви мали надіслати кошти за відновлення. Однак, коли фахівці розібрали функціонал цього вірусу, то виявили, що шляхів відновлення у нього немає.
"Про те саме нам зараз звітує Microsoft – просто немає цього блоку. Не можна сказати, що це був основний вектор хакерів, але у цьому є схожість", – пояснив Костянтин Корсун.
За словами фахівця, віруси завжди відрізняються за дрібницями. Кожен шкідливий код має безліч особливостей, тому якщо це робили одні й ті самі люди, ці особливості (одні й ті самі методи застосовані, протоколи й алгоритми тощо) будуть видимі.
"Судячи з того що нам поки ніхто нічого не сказав, таких подібностей не знайдено. Поки можна сказати лише про те, що і в 2017-му, і зараз використовувався вайпер, який прикидався вимагачем. Але щодо тактики розповсюдження – тут є суттєва різниця, бо тоді це був основний вектор, а зараз ні", – відзначив Корсун.
Крім версії Microsoft, який знайшов точкові приклади використання вайпера та атаки на деякі ресурси 13-14 січня, існує ще два можливих вектори. На думку Костянтина Корсуна, October CMS – система контент-менеджменту державних сайтів, містила вразливості, про які було відомо давно. Ними хакери могли скористатись для зламу.
Ще одна версія – більш небезпечна, за словами кіберспеціаліста – атака ланцюга поставок (Supply chain attack), яка в останні роки набрала популярності у кібер-кримінальних колах, тому що саме таким методом (коли ламають не сам ресурc, а постачальника) були зламані сайти організації USAID і кількох міністерств у США, в тому числі мінфін.
У випадку атаки на українські держресурси зламали компанію Kitsoft, яка розробляла вебсайти для кількох держорганів. "Зламали, ймовірно, акаунти її працівників, а через них зайшли в мережу компанії, звідки змогли зайти на сайти, які нею розроблялись. Небезпека в тому, що невідомо, до чого ще мала доступ компанія Kitsoft. А головне – зловмисники зайшли і отримали адміністраторські права, тобто великі привілеї, а тому створили плацдарм для подальших атак", – каже Костянтин Корсун.
Читайте також: Хакери атакували урядові сайти України. Якщо підтвердиться російський слід, США можуть застосувати нові санкції
Як пояснив спеціаліст, цього разу зробили лише дефейси (зміну контенту на неправдивий) на кількох сайтах і це кінчик айсберга, бо невідомо, наскільки глибоко хакери зайшли в систему Kitsoft: "Можливо, компанія мала доступ, не лише до вебсайтів, а й до внутрішніх локальних мереж цих держустанов. Якщо вони туди проникли – то невідомо, куди пішли далі. Міністерства між собою тримають комунікацію, так само як з іншими установами і навіть комерційними компаніями. Якщо ця операція готувалась довго, то вони зайшли далеко і глибоко".
Теоретично не виключено також, що хакери могли дістатися до держреєстрів. "Якщо атака готувалась кілька місяців, тоді страшно уявити, куди вони зайшли із рівнем безпеки в наших держустановах. Більшість держбаз адмініструються з відповідних міністерств або держпідприємств. Якщо зламали Kitsoft, могли зайти в систему міністерства, в його мережу, а звідти, цілком можливо, отримали доступ до реєстрів, але ми поки цього не знаємо", – каже Костянтин Корсун.
Про те, що атаку готували давно, каже й Тім Карпінський – операційний директор Українського Кіберальянсу. У коментарі Тижню спеціаліст стверджує, що кожна атака такого рівня має час планування і точно не реалізується "день в день": "Однозначно можемо стверджувати, що результат атаки був набагато більшим та ширшим ніж просто дефейс, а свідченням тому є ймовірно знищенний реєстр МТСБУ та припинення діяльності інфраструктури "Дія", яка, до речі, за заявою мінцифри була "повністю захищена" та "майже невразлива".
Натомість кіберактивіст зазначив, що рівень проникнення наразі невідомий з офіційних джерел, а для визначення рівня проникнення необхідно здійснити повний аналіз всієї державної цифрової інфраструктури. "Наслідки ми ще, на жаль, будемо спостерігати згодом", – резюмував Карпінський.
Як зазначив Тижню незалежний аудитор систем інформаційної та кібербезпеки Андрій Перевезій щодо припущень, висловлених Microsoft, все залежить від налаштувань мережі, тож наскільки зараз відомо, "немає жодних підстав говорити про те, що зловмисникам вдалось отримати доступ до будь-яких чутливих даних". Він також наголосив на тому, що повну картину можна буде оцінити після детального розслідування.
Фахівець також додав, що офіційно відомо лише про знищення або пошкодження даних реєстру в МТСБУ та частково ще в деяких державних установах. За такого типу атаки, при відсутності "бекапів", відновити інформацію, як зазначалось вище, неможливо. Проте в МТСБУ були копії баз даних, що дозволило відновити втрачене. Однак наразі немає інформації про кількість вражених ПК та серверів, тобто знову ж таки – що ще постраждало – невідомо.
Незважаючи на бажання відвести від себе увагу повідомленнями про "повернення історичних земель", звинувачення все одно полетіли в бік Росії. Наскільки велика ймовірність, що за повномасштабного вторгнення відбудеться і набагато більша кібератака, можна сказати лише після оприлюднення всіх даних про стан уражених систем. На думку Костянтина Корсуна, небезпека від Росії – справа не однієї кібератаки, бо державна система кіберзахисту, за його словами, "відкриті гнилі ворота на іржавих петлях", тому в Кремлі можуть "просто натиснути кнопку і виключити все абсолютно".
Читайте також: "Однозначно ідентифікують як можливу російську операцію". Як у Польщі сприйняли нічну кібератаку на українські сайти
"В нас немає системи кібербезпеки і єдиної політики щодо цього – лише імітація бурхливої діяльності. Питання обмежене тільки тим, чи захочуть росіяни це зробити й чи буде в них достатньо мотивації", – сказав кіберфахівець.