В 2016 году хакерские атаки на украинские инфраструктурные объекты перестали быть чем-то сверхъестественным и уже начинают входить в привычку. Киберинцидентов с наивысшей степенью угрозы за год произошло как минимум три (из тех, которые стали достоянием общественности), благо не все закончились успехом хакеров. Однако эксперты констатируют факт: всплеска атак не было – все плохо уже давно.

“Я бы не сказал, что количество атак резко возросло, я бы скорее сказал, что последствия атак становятся все более печальными и, благо, если не правительство, то хотя бы СМИ (даже наши украинские) начали более рьяно освещать события, происходящие в сфере “кибер”, – прокомментировал генеральный директор ООО “САЙ ЕC ЦЕНТРУМ”, руководитель компании CyS-CERT Николай Коваль. – Если бы сейчас взяли и рассказали о всех известных нам актуальных угрозах (для разных сфер), то простой гражданин нашей страны подумал бы, что началась какая-нибудь кибер-эпидемия, хотя это не так – угрозы есть, их немало было, есть и будет еще больше”.

А теперь по порядку.

Удар по рубильнику, или BlackEnergy strikes again

Совсем недавно, в декабре, несколько районов Киева и области оказались обесточены на несколько часов. Причиной стал сбой автоматики управления подстанцией “Пивнична” в селе Новые Петровцы. Глава госпредприятия “Укрэнерго” Всеволод Ковальчук заявил, что причиной стало “внешнее вмешательство в системы передачи данных”, то есть кибератака.

Примечательно, что атаки на энергетический комплекс страны зафиксировали еще в январе 2016 года. Хакеры воспользовались поддельными письмами от имени предприятия “Укрэнерго”, которые разослали предприятиям из сферы электроэнергетики. Письма содержали вирус BlackEnergy, который проникает внутрь и уничтожает важные системные файлы. Этот же вирус использовался во время нашумевшей атаки на “Прикарпатьеоблэнерго” в конце декабря 2015 года. Тогда кибервзломщикам удалось на шесть часов обесточить половину Ивано-Франковской области и часть областного центра.


Минифильм о том, как происходила атака на “Прикарпаттяобленерго” в 2015 году, недавно опубликовало НАТО в официальном Twitter-акаунте

По данным американской компании iSight Partners, атака на “Прикарпаттяобленерго” была совершена хакерской группировкой Sandworm, базирующейся в Москве. Предположительно, все остальные атаки с использованием BlackEnergy также исходили из России.

Помимо энергетических предприятий страны вирусом BlackEnergy ударили и по сфере авиаперелетов. В середине января 2016 года хакеры атаковали информационную систему главного украинского аэропорта «Борисполь». Целью атаки была система управления полетами аэропорта.

Представитель министерства обороны Андрей Лысенко заявил, что атаки были совершены с адресов, также расположенных на территории России. Для предупреждения подобных инцидентов в будущем антивирусную систему «Борисполя» пообещали “пересмотреть”.

Казалось бы, хакеры особенно распоясались именно в 2016-м, на энтузиазме после успеха с “Прикарпаттяэнерго”. На самом деле нет. По словам Николая Коваля, подобные атаки против украинских государственных объектов хакеры ведут как минимум с 2014 года. Просто раньше о них помалкивали. “Все громкие кейсы, в которых была или только попытка атаки или была достигнута цель с явными отрицательными последствиями, а именно:

  • Укрзализныця – 2014 год, все 6 дорог (не путать с недавним случаем);
  • государственные архивы/библиотеки, радиовещательная компания, телеканалы (в преддверии выборов 25.10.2015);
  • аэропорт;
  • авиационная компания;
  • энергетические объекты (black-out 23.12.2015; «Прикарпатьеоблэнерго», «Киевоблэнерго» и еще три облэнерго);
  • Минфин;
  • Казначейство;
  • Фондовая биржа «ПФТС»;
  • Укрзализныця 2.0;
  • подстанция «Північна»;
  • Администрация морских портов Украины (и соответствующие предприятия) —

ассоциируются с деятельностью одной группы, именуемой Sandworm и одной из используемых ею вредоносных программ BlackEnergy. До того, как влияние кибератак ощутили не только атакованные организации, а непосредственно люди, самим атакам в СМИ (особенно украинских) много внимания не уделялось, поэтому могло сложиться впечатление, что угроза возникла совсем недавно. На самом же деле, по крайней мере атаки упомянутой группы актуальны как минимум с 2014 года”, – подчеркнул Николай.

Атаки на госреестры и сайты: под ударом бизнес и пенсионеры

Госсайты “укладывают” регулярно – например, в июле 2016 года два дня были недоступны реестры Минюста из-за мощного DDoS, из-за чего пострадали все организации и лица, использующие электронно-цифровые подписи (ЭЦП). Именно ЭЦП могли быть целью хакеров в рамках данного инцидента, а скорее даже корневой, центральный ключ системы, который может дать злоумышленникам свободу как угодно распоряжаться вообще всеми зарегистрированными ЭЦП.

В списке Николай также упомянул кейсы, которые освещал, в частности и AIN.UA, а именно атаки на сайты Министерства финансов, Государственной казначейской службы и Пенсионного фонда Украины от 6 декабря. В этот раз хакеры не просто нарушили работу онлайн-систем ведомств – они вывели из строя сетевое оборудование. В Министерстве финансов сообщили, что атака вызвала «определенные проблемы» с полноценным выполнением платежей. В Пенсионном фонде также всполошились из-за возможных последствий, после чего Кабмин решил выделить пострадавшим ведомствам 80 млн грн из резервного фонда на обновление сетевого оборудования.

Менее вредоносной, но не менее заметной были атаки на социальные аккаунты Министерства обороны и Нацгвардии Украины, которые произошли в августе 2016 года. Пострадали Twitter-аккаунты обеих организаций и Instagram-профиль Минобороны. Так среди ночи в Twitter-аккаунтах ведомств хакеры из группировки Sprut разместили коллажи с надписью «Украины больше нет» и «Страна не найдена». Аналогичное изображение появилось и в официальном Instagram-аккаунте ведомства. Перехватить у хакеров доступ к соцаккаунтам удалось лишь днем, примерно к 14:00.

Зачем и кому это нужно

По мнению CТO украинской антивирусной компании Zillya! Олега Сыча, подобные атаки преследуют очевидную цель: дестабилизировать ситуацию в Украине и продемонстрировать несостоятельность киберзащиты украинских госорганов и объектов инфраструктуры. “Для борьбы с такими атаками у нас есть соответствующие структуры и специалисты. Другое дело, что необходимо существенно повышать уровень знаний о кибербезопасности сотрудников атакуемых учреждений, поскольку возле каждого чиновника не посадишь IT-специалиста”, – подчеркнул он.

Николай Коваль видит и более угрожающие сценарии, но подчеркивает, что наверняка выяснить причины атак почти невозможно. “Версия со шпионажем наиболее логична, если учесть, что этап разрушения атакованной организации зачастую наступает через 3–8 месяцев после того, как в нее проникли”, – отметил эксперт.

Для примера Николай привел кейс: в апреле 2016 года CyS-CERT сообщила в Администрацию морских портов Украины о том, что ее целенаправленно пытаются атаковать (та же группировка Sandworm). Компания была готова бесплатно помочь организации, для этого тогда же в апреле запросила дополнительные данные, которые, однако, не были предоставлены. “Более того, в преддверии самой атаки антивирусная компания, продукты которой использовались в АМПУ, также, я боле чем уверен, предупреждала их. Но 20.12.2016 их системы (и/или системы предприятий АМПУ) были выведены из строя», – комментирует Николай.

«За 8 месяцев до развязки АМПУ, вероятно, скомпрометировали. Все это время «внутри» корпоративной сети находились злоумышленники – и что они успели там сделать, что успели украсть – остается только догадываться».

“Надо понимать, что атаки не прекращаются, просто о них узнают раньше или позже. Более того, методы атак частично совершенствуются – меняется вредоносное ПО, используются легитимные каналы для коммуникации между зараженным устройством и злоумышленником (Telegram, сервис электронной почты) и др. Тяжело ответить на вопрос «кто следующий?», так как до конца не ясны мотивы”, – заключил эксперт.

Интересный кейс для разбора причин атак – последний взлом “Укрзализныци”, из-за которого сайт и онлайн-системы ведомства возлежали 15 декабря уходящего года. В них глава УЗ Войцех Балчун обвинил не кремлевских хакеров, а “старую гвардию” украинских чиновников, которые якобы запереживали о сохранности своих схем. Однако он ничего не сказал о сохранности персональных данных клиентов “Укрзализныци”, которые являются пользователями скомпрометированных систем.

“Вряд ли какая-либо из атакованных организаций, подобно Yahoo, выйдет с пресс-релизом, в котором расскажет о взломе и возьмет на себя ответственность за его последствия. У “Укрзализныци” был сервис электронного приобретения билетов, где указывались данные пассажира. Кроме того, в системе обрабатывались аутентификационные данные: логин и пароль пользователя. Никто не знает, в каком виде хранились там пароли, но то, что они скомпрометированы – почти факт.

Опасно не только то, что пользователь мог использовать одинаковый пароль для доступа к разным системам, а еще и тот факт, что злоумышленник может теперь сопоставить ФИО, электронный адрес, историю покупки билетов, IP-адреса и т.п., чем изрядно «деанонимизировать» любого пользователя, у которого был аккаунт в этой системе.

Страшно это или нет – другой вопрос, главное – объяснить это клиентам. Более того, в нашем случае снаряд даже дважды падает в одну и ту же воронку: УЗ была атакована в 2014 и в 2016 годах”, – напомнил Николай Коваль.

Особое поле для спекуляций – боевые действия на востоке Украины. На прошлой неделе компания Crowdstrike опубликовала исследование, в котором обвинила хакерскую группировку Fancy Bear (ее связывают с российским правительством) в кибершпионаже за украинской армией с 2014 по 2016 год.

В исследовании говорится, что хакеры использовали приложение, разработанное украинским офицером Ярославом Шерстюком. Последний заявил, что его взлом невозможен – все разработанное им ПО жестко контролируется и не распространяется по открытым каналам, как отмечают в Crowdstrike. Саму же новость он назвал провокацией со стороны Кремля.

“Не важно, что лежит в основе атак – бизнес-разборки, кибершпионаж, саботаж и дестабилизация, попытка повлиять на какие-то государственные процессы, ясно одно – атакуют критически важные объекты (транспорт, энергетика, финансовая система). Эта угроза перманентная и атаки будут продолжаться”, – констатирует Николай Коваль.

Кибервойна и как на ней воюет Украина

По мнению Олега Сыча, атаки связаны с кибервойной, которая идет в мире и в которую теперь активно втянута Украина. “По всей видимости, частота и успешность кибератак во многом будут зависеть от действий украинской стороны по организации собственной защиты. Необходимо в короткие сроки построить щит там, где его нет, или усилить там, где он недостаточно прочен. В целом наша кибербезопасность существенно повысится, если государство применит комплексный подход к защите объектов критической инфраструктуры, а не будет реагировать на совершенные атаки постфактум”, – подчеркнул он.

Превентивные меры эффективны, соглашается с коллегой Николай Коваль. “У нас на практике был случай, все с той же группировкой, когда энергетическая организация с серьезностью отнеслась к переданной ей информации, провела работы, взаимодействуя с нами, и исключила себя из списка тех облэнерго, электрические подстанции которых были отключены в декабре. Это касается не только угроз критически важным объектам. Например, ряд банков – наших клиентов – могут подтвердить, что благодаря передаваемой им информации об угрозах они в состоянии предотвращать хищения денежных средств”.

Здесь логично вспомнить недавнюю хакерскую атаку на украинские банки через систему SWIFT. В июне 2016 года стало известно, что в результате со счетов клиентов пострадавших банков было украдено около $10 млн.

По мнению экспертов, чтобы таких краж было хотя бы меньше, нужно организовать обмен информацией об атаках между участниками банковского рынка, а также наладить обмен такой информацией с подобными центрами за рубежом. Однако о создании Центра обмена информацией об атаках (Security Analysis and Information Exchange Centre) в Украине пока речь не идет: НБУ не занимается безопасностью банков, а в Независимой ассоциации банков Украины AIN.UA сказали, что инициативы по созданию такого центра со стороны банков пока нет.

Достижения и пробелы украинского правительства в сфере кибербезопасности

Увенчавшиеся сокрушительным успехом атаки на энергетический сектор сподвигли чиновников определиться со стратегией в области кибербезопасности, которую в марте подписал президент Порошенко. Согласно документу, основу национальной системы кибербезопасности составят Минобороны, Госспецсвязи, СБУ, Национальная полиция Украины, НБУ и разведывательные органы.

Также Совет решил создать Национальный координационный центр кибербезопасности, который будет рабочим органом СНБО.

Впрочем, Николай Коваль скептически отзывается о предпринятых шагах. «В этом году на UISGCON было сказано о прорыве, который заключался в том, что приняли стратегию кибербезопасности. Документ я не читал, но не думаю, что у нас легализировали термины с приставкой «кибер». Создана Киберполиция – уже хорошо, ребята работают, есть конкретные успешные примеры.

Но, как видите, реформировать только Киберполицию недостаточно – например, при задержании одного из фигурантов бот-сети Avalanсhe, последний был отпущен судьёй, и старания всех, даже «празднующего» генпрокурора (понимая, что он гарантирует только обвинение), оказались тщетны. Еще говорили, что какой-то центр противодействия Киберугрозам создадут, но я не знаю на каком это этапе находится».

«Пока на государственном уровне у нас о «кибер» никто серьёзно не говорит –  мало прецедентов было, видимо. Стало быть, будут еще».

«В стране даже отсутствует техническая возможность видеть угрозы хотя бы на наиболее важных объектах. Я не говорю о том, что, когда появится возможность мониторить/выявлять угрозы, их надо будет тут же ликвидировать, расследовать и т.п. – а это надо кому-то делать”, – заключил Николай Коваль.

По мнению Олега Сыча, главные проблемы кибербезопасности еще более прозаичны – это слабая осведомленность рядовых сотрудников и халатность обслуживающего IТ-персонала. “Именно разъяснительная работа среди персонала в комплексе с обновлением софта и оборудования даст возможность создать более-менее надежную защиту госучреждений. Пока на серверах будет использоваться пользовательский софт, которого там не должно быть, пока не будет понимания элементарных правил использования той же электронной почты и съемных носителей информации, каждый день любое учреждение, где сотрудники не проинформированы о таких базовых аспектах кибербезопасности, будет под угрозой”, – утверждает эксперт.