Шпион, выйди вон!

Времена, когда шпионы в черных шляпах и кожаных плащах внедрялись в стан врага, давно прошли. Сегодня они сидят за компьютерами. И некоторых из них очень интересует Украина. Прошлой зимой против страны развернули масштабную и дорогостоящую кампанию кибершпионажа. Ее признаки заметили эксперты международной компании в сфере безопасности CyberX – соответствующий отчет опубликовали в феврале 2017 года.

По данным экспертов, с помощью зловредного ПО BugDrop хакеры дистанционно записывали разговоры в украинских компаниях через микрофоны, встроенные в ноутбуки и мобильные гаджеты. На момент обнаружения кампании прослушке подверглись как минимум 70 украинских предприятий в разных сферах, включая критически важные объекты инфраструктуры, средства массовой информации и научно-исследовательские институты.

Здесь и далее иллюстрации из сериала “Мистер Робот”

Целью злоумышленников была добыча конфиденциальной информации: записей разговоров, скриншотов, документов и паролей, сохраненных в браузере. И по мнению экспертов, это был лишь первый этап операции. В CyberX предположили, что хакеры успешно провели разведку на объектах, чтобы определить, где удастся организовать новые диверсии.

«О кибершпионаже в Украине лучше не говорить – все очень плохо, в разы хуже, чем с другими угрозами. Никаких секретов у государства не существует, – говорит Николай Коваль. – За этот год несколько раз фиксировались успешные попытки получения доступа групп кибершпионов к инфраструктурам украинских ведомств, оборонных предприятий и других объектов критической инфраструктуры».

Следы BugDrop обнаружили не только в Украине, но также в Саудовской Аравии, Австрии и России, однако абсолютное большинство объектов атаки были расположены именно в нашей стране. Причем, особо заметна активность кампании в Донецкой и Луганской областях, который год оккупированных сепаратистами.

«Петя А» наносит удар

BugDrop был лишь очередным тревожным звоночком, пока летом 2017 года не зазвонил по-настоящему большой колокол. 27 июня – канун Дня Конституции – примерно в середине дня компания «Киевэнерго» объявила, что подверглась хакерской атаке. Следом посыпались аналогичные сообщения от «Укртелекома», «Ощадбанка», «Нова пошта», «Фармака», «Укрсоцбанка», «Укрзализныци», «Эпицентра», «24 канала», министерств, аэропортов, больниц.

Информационные системы украинских коммерческих компаний, государственных предприятий и инфраструктурных объектов начали падать одна за другой. На экраны компьютеров выводилось сообщение о том, что файлы на них зашифрованы, и требования перечислить $300 на биткоин-кошелек. Вопреки рекомендациям полиции и экспертов, некоторые пострадавшие заплатили выкуп – так хотелось вернуть доступ к утраченным навсегда базам данных и другой важной для бизнеса информации. Но ожидаемо никто из них ключ для расшифровки так и не получил.

В уанете разразилась паника: пользователи начали отключать офисные компьютеры от сети из-за опасений подхватить вирус. По всей стране закрывались отделения банков, не работали банкоматы, магазины. Деятельность огромного числа компаний была частично или полностью парализована.

В ту ночь не спали не только системные администраторы, но и украинские правоохранители. На следующий день Киберполиция установила, что причиной краха стал вирус-шифровальщик Diskcoder.C (в разных источниках его называют по-разному: ExPetr, PetrWrap, Petya.А, NotPetya), который просочился через уязвимость в программе электронного документооборота M.E.Doc. Атака затронула десятки тысяч компьютеров по всей стране, которые использовали данное ПО.

Но вот что интересно. Как заявили правоохранители, Diskcoder.C запустили в украинскую систему документооборота еще в мае. То есть хакеры уже давно были здесь, но никто ничего не предпринял, чтобы атаки от 27 июня не случилось.

«Это cyber-sabotage. Одним “ударом” злоумышленники смогли навредить десяткам тысяч украинских предприятий. Причем – предварительно произведя тестирование (если помните майскую историю с XDATA)», – говорит Коваль. Напомним, вирус-вымогатель XData стал вторым по скорости распространения зловредом после WCry. В Украине были заражены сотни компьютеров, и хотя вирус зафиксирован не только в Украине, на нашу страну пришлось 96% всех жертв.

Ну а то, что окончательный крах случился аккурат ко Дню Конституции – лишнее подтверждение, что хакеры заблаговременно готовили украинцам «подарок» к празднику. Вымогательство было лишь прикрытием – на самом деле «Петя А» преследовал куда менее невинные цели.

Не вымогатели, а террористы

По мнению следствия, настоящими целями кампании могли быть стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в Украине. Такое предположение высказали и западные эксперты, ссылаясь на то, что 75% случаев заражения вирусом приходится именно на Украину.

В пользу данной версии говорил и тот факт, что эксперты не обнаружили у вируса-вымогателя «реального механизма завладения средствами». Жертвы Petya.A заплатили злоумышленникам около $10 000 – сумма небольшая, учитывая масштабы кампании. Куда более ценно для хакеров было то, что через свой шифровальщик они получали удаленный доступ к данным и подключенному оборудованию, и заодно собирали коды ЕГРПОУ пострадавших компаний.

«В любой массовой атаке есть цели тактические и стратегические. Тактической целью данной атаки было парализовать системы, а вот какие могут быть стратегические цели – можно только гадать. Возможно оценка эффективности или оценка реакции общества, бизнеса, спецслужб, а может быть хакеры хотели отвлечь внимание от других атак, которые могли происходить в то же время, но в других странах», – комментирует ведущий консультант компании 10Guards Александр Смычников.

В СБУ атаку связали с киберинцидентами 2016 года, когда многие госучреждения пали жертвами вирусов TeleBots и BlackEnergy – атаку «Петей A» организовала та же хакерская группа. «Это свидетельствует о причастности к этой атаке спецслужб РФ», — заявили в пресс-службе ведомства. И по мнению Смычникова, не стоит этого отрицать.

«Все возможно, учитывая, что даже Брэд Смит (президент Microsoft) не так давно сам загадочно отметил: “Я говорю, что не нужно много фантазии, чтобы выяснить, кто напал на Украину”. С другой стороны – однозначного подтверждения наличия «российского следа» также нет», – говорит эксперт.

Волшебный пендель

Подсчитать ущерб, нанесенный «Петей А» в Украине, сложно, однако это без сомнения один из самых масштабных киберинцидентов в нашей истории (по неподтвержденным данным – около 0,5% от ВВП). Он стал далеко не первым, но одним из наиболее вопиющих напоминаний о том, какая громадная брешь зияет в украинской киберобороне. После чего 5 октября Рада наконец приняла многострадальный закон №2126а «Об основах обеспечения кибербезопасности Украины», который до этого неоднократно отзывали, переписывали и снова вносили в парламент.

Закон определяет основы обеспечения граждан и государства в киберпространстве, основные направления государственной политики в этой отрасли, полномочия госорганов и предприятий в этой сфере. Он также определяет ответственность за нарушения в этой сфере. Однако больших надежд эксперты на него не возлагают.

«Принятие закона «Про основы кибербезопасности Украины» – безусловно необходимый и важный шаг. Однако, в названии есть слово «основы», что сразу определяет начальный, точнее концептуальный подход к описанным в нем требованиям и положениям. Если в 2018 году наши законодательные органы продолжат, а они обязаны согласно этого закона, создавать инструменты регулирования в киберпространстве, в том числе и в части кибербезопасности, тогда можно сказать – да, сфера окрепнет», – считает Александр Смычников.

«Моментального практического эффекта это может и не принесет, но заложит фундамент на будущее, – комментирует руководитель отдела внешних коммуникаций и маркетингу антивирусной компании Zillya! Владислав Андрианов. – Определенно можно сказать, что хоть формально, но «лед тронулся». Государство зашевелилось и начало выделять деньги на модернизацию и улучшение ситуации с киберзащитой, правда в тех отраслях и госучреждениях, которые стали объектами громких атак. Но все же, по сравнению с 2016 годом – это почти прорыв».

По мнению Коваля, сфера кибербезопасности в Украине может окрепнуть. Но не благодаря регулированию, а вследствие “побочного действия”. «Происходящее в Украине – это уникальные прикладные примеры кибератак, направленных на наиболее интересные сферы жизнедеятельности и инфраструктуры государства. Это привлекает профильные иностранные компании, побуждая их развивать взаимодействие с потерпевшими организациями и потенциальными жертвами, что приводит к открытию локальных представительств и интенсификации взаимодействия в сфере в целом, – говорит эксперт.

Как правило, раньше (да и сейчас, но в меньшей мере – не будем идеализировать) организации старались скрыть инцидент. Но, злоумышленники не оставляют такого шанса – тяжело скрыть отсутствие электричества, приостановку социальных выплат и т.п. Понимая это, но все же оставаясь украинскими, наши предприятия рады приветствовать иностранных консультантов, которые на бесплатной основе проведут исследование. Рано или поздно, хотим мы этого или нет, это приведет к созданию рынка, спроса и предложения».

Предупрежден – значит, вооружен

После катастрофы с «Петей А», украинские правоохранители были начеку. Вторая волна атаки началась в октябре: от шифровальщика, известного как BadRabbit, пострадали аэропорт Одессы и Киевский метрополитен, однако массового характера кампания так и не приобрела – ее удалось оперативно свернуть. В аэропорту вирус ненадолго заблокировал функционирование службы регистрации пассажиров, а в Киевском метро — возможность оплаты проезда банковскими картами. Работу систем восстановили в тот же день. На этот раз больше пострадали российские компании – на долю РФ пришлось 65% всех инцидентов с BadRabbit. Украине досталось всего 12,2% кейсов.

К слову, позже выяснилось, что параллельно с BadRabbit шла скрытая атака, направленная на украинских пользователей бухгалтерского ПО «1С» – около 15 компаний сообщили о взломе. Иронично, авторы «в связи с возрастающим количеством атак на программный продукт 1C Enterprise, предлагали бесплатно поставить обновление, «позволяющее закрыть найденные бреши и повысить защищенность продукта».

«У юридических и физических лиц с интенсивностью 2-5 раз в неделю, начиная с 2013 года и до текущего момента безустанно воруют деньги, посредством вредоносных программ. Злоумышленники получают доступ к компьютеру бухгалтера, изучают жертву и отправляют несанкционированные платежи через установленные системы “клиент-банк”, – рассказывает Коваль. Продолжаются атаки, направленные непосредственно на инфраструктуру банка (например, группа Cobalt). В придачу к этому – банкоматы подвергаются физическим и логическим атакам. Для кражи денег из банкомата с помощью “прямого” диспенса в Украине в 2016 применялся GreenDispenser, а в этому году – Cutlet Maker».

Также распространены случаи Business Email Compromise компрометация рабочего электронного адреса, например, использующегося для переписки с поставщиками/контрагентами. «На этапе пересылки счетов-фактур происходит подмена документов. Итог – перевод денег не на те реквизиты. Угроза бьет по карману (суммы хищений – $20 000 – $60 000). Нужно быть внимательным, использовать многофакторную аутентификацию и дополнительный канал для сверки данных при оформлении сделок», – рекомендует эксперт.

Урок не впрок

Казалось бы, после такого количества грандиозных киберпровалов украинским компаниям давно пора взяться за голову и понять, что хакеры – это не страшилка из сериала «Мистер Робот», а реальная физическая угроза. Но не тут-то было. Уровень кибербезопасности в Украине все еще сильно «плавает».

«В финансовом и банковском секторах мы оцениваем его, как высокий. То же самое можно сказать об IT-компаниях и представительствах международных компаний, которые работают по международным стандартам. В остальных секторах ситуация не так радужна. Большинство компаний не готовы к серьезным киберинцидентам», – говорит основатель RMRF Technology Андрей Пастушенко.

Что касается госсектора, там пока полный провал. Недавно хактивисты из группы «Украинский Киберальянс» и волонтеры решили проверить на уязвимости веб-ресурсы госорганов. Оказалось, что у многих секретные государственные данные лежат чуть-ли не в открытом доступе. «Не нужно ничего ломать — заходи и бери. Все заботливо разложено по папочкам и приготовлено на вынос», — рассказал представитель «Кибеальянса» Таунсенд.

Например, у Херсонского облсовета для доступа из интернета открыт общий диск с правами на запись без пароля. На сервере организации нашли следы взлома полугодичной давности. В Национальной академии внутренних дел всем желающим оказались доступны пароли от сайта и список офицеров. А у Белоцерковского отдела Нацполиции в открытом доступе оказался диск с личными данным сотрудников, внутренними распоряжениями и списками паролей от официальных аккаунтов. Хактивисты также получили доступ к ресурсам пенсионного фонда в Никополе, областного коммунального предприятий «Днепр-Кировоград», НАЗК, научно-исследовательского экспертно-криминалистического центра МВД и множеству других организаций.

Более того, многие госорганы после обнародования уязвимости не реагировали на нее или отрицали, сообщают хактивисты.

«Низкий уровень защищенности государственных информационных систем – результат того, что до последнего времени на государственном уровне проблему кибербезопасности не воспринимали всерьез, – говорит Андрей Пастушенко.В итоге, никого не удивляют такие очевидные «косяки», как документы, содержащие чувствительную информацию в открытом доступе или почтовые ящики госучреждений на российских серверах, куда заходят через VPN».

По мнению Смычникова, есть две причины такого неудовлетворительного положения вещей в сфере государственной киберзащиты – официальная и неофициальная. «Официальная в том, что сфера – нерегулируемая. Нет документов, которые позволяют определить стандарты и требования к безопасности государственных систем. К тому же строгой ответственности за халатное отношение к кибербезопасности, вернее к ее отсутствию, у нас пока нет.

И тут, на авансцену, выходит вторая причина – неофициальная. Такая анархия и свобода выбора в подходах к безопасности отдельных государственных компаний и институций приводит к тому, что мера и уровень безопасности в каждой госкомпании определяется индивидуально и, главное, субъективно руководством или специалистами. Плюс, не стоит забывать про бюджетирование расходов госорганов и предприятий: во-первых, нужно обосновать расходы на безопасность в следующем бюджетном году, во-вторых, эти средства нужно успеть освоить и не отдать на какие-то другие статьи в течение бюджетного года, что часто бывает. А в-третьих, на эти деньги нужно эффективно внедрить, настроить, потом этим управлять, поддерживать и развивать», – подчеркивает эксперт.

Выводы: кибербез, которого нет

Вынесла ли Украина урок из всего случившегося в 2017 году? И можем ли мы рассчитывать на то, что в 2018-м «Петя» не повторится? Андрианов считает, что нет.

«Невозможными сделать такие инциденты нереально. Слишком много умеющих и желающих организовать атаку, слишком слаба защита в Украине. Скорее можно говорить про минимизацию масштабов кибератаки и ее последствий. И снова все упирается в образованность и осведомленность населения про кибербезопасность.

О какой кибербезопасности можно говорить, если про бекап не слышали, а если и делают резервное копирование – то на том же ПК, на котором хранится искомая информация? Как можно организовать систему кибербезопасности на предприятии, где на серверах установлены и используются пользовательские программы или почтовые клиенты? И многое другое, что кажется очевидным, в наших реалиях – норма».

Как выразился Смычников, в Украине к кибербезопасности относятся как к комару: пока место укуса чешется – мы о ней помним, а потом вроде и не беспокоит уже. Между тем, в глобальных прогнозах говорят, что масштабы и влияние киберугроз в будущем будет только усиливаться. И Украина здесь не отличается от остальных стран, добавляет Андрей Пастушенко.

«Я бы начал с возможности вовремя видеть угрозы, а не довольствоваться их последствиями. В других странах уже давно существуют системы мониторинга, а у нас – все ни по чем», – говорит Коваль.

Закончить этот материал хотелось бы на позитивной ноте. Но к сожалению, этого никак не поучится. По словам Коваля, с сентября в Украине фиксируется активность, свидетельствующая о том, что в декабре или немного позже может произойти очередной коллапс. И касаться он будет объектов критической инфраструктуры.

Если, конечно, на этот раз хакерам не помешают.