12-13 июля аккредитованный центр сертификации ключей органов юстиции Украины атаковали хакеры, сообщает сайт «Национальных информационных систем». DDoS-атака длилась два дня, все это время реестры Минюста были недоступны, работа с ними была парализована

Проблемы были у всех организаций и лиц, которые используют электронно-цифровые подписи (ЭЦП). «При полноценной непрерывной DDoS-атаке на аккредитованный центр сертификации ключей органов юстиции Украины блокируется деятельность, связанная с исполнительным производством, операциями по регистрации имущества и тому подобное. Все подобные операции должны подтверждаться электронно-цифровыми подписями, но при неработоспособности центра, который подтверждает подлинность этих подписей, операция утверждения произойти не может», – поясняет Алексей Ясинский, директор по информационной безопасности StarLight media.

Как выяснил AIN.UA, 14 июля атака хакеров была прекращена, теперь реестры работают в обычном режиме.

Кто был организатором? Специалисты по кибербезопасности рассказывают, что заказать DDoS-атаку сегодня может даже школьник: для этого нужно $100-1000 и два дня. Зачем злоумышленники это сделали? «Вариантов слишком много: от преследования какой-то конкретной цели, до масштабной атаки на все госучреждения Украины, но с полной уверенностью можно сказать одно, поскольку каждая атака стоит материальных инвестиций, следовательно, цель у этой атаки есть», – говорит Алексей Ясинский.

Unlocking online system concept with hand wearing black glove pointing a tablet screen

«Есть две основных причины, по которым криминальные хакеры применяют DDoS: прямая – отказ в обслуживании, когда целью является сделать веб-ресурс недоступным, или же косвенная – отвлечь внимание от настоящей цели и под прикрытием «дымовой завесы» провести взлом целевой организации», – поясняет Андрей Безверхий, CEO стартапа по кибербезопасности SOC Prime. По его словам, определить цель злоумышленников без масштабного расследования невозможно, она может быть какой угодно – от слива похищенных данных скрытым каналом, например, через DNS-тоннель, сеть Tor и другими способами – до незаметной для нотариусов кражи их ключей и паролей, дающих право доступа к государственным реестрам.

За ключами ЭЦП нотариусов хакеры охотятся уже давно. В 2015 году начали появляться сообщения о том, что злоумышленники от имени нотариусов, чьи данные похищены, вносят нужные им записи в государственные реестры, а затем проводят рейдерские захваты. «По закону именно запись в электронном госреестре является свидетельством права собственности, а не печатные документы, как было ранее. Мошенники перерегистрируют имущество на других лиц, а затем, пока собственники ничего не подозревают, рейдеры устанавливают силовой контроль над объектом», – говорит Глеб Сегида, управляющий партнер юридической фирмы «Правовест». Правоохранительные органы в таких случаях помочь не могут: у рейдеров на руках выписки из госреестра, где они числятся «законными» собственниками.

«От таких действий хакеров страдает бизнес, активы которого захватывают рейдеры, банки, теряющие залоговое имущество по кредитам, частные лица, у которых «уводят» квартиру, дом, дачу, земельный участок, а также сами нотариусы, которым придется доказывать правоохранительным органам, что это не они совершали мошеннические действия», – отмечает Глеб Сегида.

Однако цель атаки на Центр сертификации ключей может оказаться и более масштабной, чем хищение данных доступа к госреестрам. Дело в том, что украденные ключи нотариусы обычно меняют практически сразу после того, как обнаруживают их компрометацию: согласно инструкциям, они обязаны постоянно отслеживать, не вносились ли от их имени изменения в реестры, а также подтверждать их.

Куда большую ценность для злоумышленников представляет так называемый доверенный ключ. Это корневой, центральный ключ системы, который подтверждает всех остальные индивидуальные ключи пользователей.

«Доступ к центру сертификации дает возможность любой ключ сделать доверенным. По аналогии с паспортом – вы получаете чистые бланки паспортов, куда вписываете нужную информацию», – поясняет Андрей Безверхий. «При полном доступе к центру сертификации, злоумышленник может сгенерировать необходимое ему количество ключей, которые будут доверенными», – говорит Алексей Ясинский. Такой ключ дает возможность использовать чью угодно ЭЦП под видом ее владельца, поэтому от Центра сертификации ключей требуется максимально возможный уровень обеспечения безопасности.

«НАИС» применяет все возможные меры как технического, так и организационного характера для устранения последствий атаки. Также обеспечивается полная безопасность работы реестров, никаких рисков для пользователей нет», – заверили организации.

Напомним, это уже второй громкий случай хакерской атаки за последний месяц: ранее специалисты по кибербезопасности предупреждали о нападении на украинские банки.