14 апреля Киевская городская администрация (КГГА) сообщила о DDoS-атаке на свои серверы. Из-за нее электронные сервисы КГГА могли работать с перебоями. Однако некоторым украинским специалистам по кибербезопасности новость об атаке показалась странной, с точки зрения цифр: 4 млрд атакующих запросов за 20 минут атаки.

В «Украинском киберальянсе» предположили, что атака может быть связана с недавним тендером КГГА на закупку защитного оборудования за 65 млн грн. Редакция AIN.UA постаралась разобраться в вопросе.

Что за DDoS-атака?

14 апреля КГГА сообщила, что на ее сервисы ведут массированную DDоS-атаку. За 20 минут атаки, система защиты смогла отклонить около 4 миллиардов атакующих запросов. За первый час зафиксировали около 1,5 млн оригинальных IP-адресов.

Директор IT-департамента КГГА Юрий Назаров в Facebook сообщил, что атака шла с субботы несколькими волнами.

По его словам, одновременно слали запросы как минимум 2,6 млн пользователей при нормальной нагрузке в 10 000, а всего в атаке принимали участие 13 млн IP-адресов, удалось отбить 71 млрд запросов.

Пиковые нагрузки на серверы КГГА 12-14 апреля

При чем здесь тендер?

Один из сооснователей «Украинского киберальянса», известный в сети под ником Шон Таунсенд, проанализировал атаку. Ему показались подозрительными цифры о DDoS, которые приводит КГГА. Он предположил, что атака могла быть “прикрытием” для тендера, который сейчас проводит администрация. С его оценкой соглашаются и другие эксперты в области кибербезопасности.

Отметим, недавно администрация провела закупку камер для мониторинга температуры у людей на 65 млн грн. Закупку проводили без тендера. Из-за нарушений ее отменили, поэтому такая подозрительность в IT-сообществе понятна.

Тендер на закупку защитного программно-аппаратного комплекса за 65 млн грн для КГГА объявлен 11 марта. Закупку проводят через коммунальное предприятие “Информатика”. Сейчас заказчик собирает предложения, а аукцион начнется 4 июня 2020 года.

В отличие от тендера на камеры, к этому тендеру с регуляторной точки зрения претензий нет, он проводится в соответствии с законодательством, как объяснили AIN.UA в Prozorro.

“Это — открытый тендер КП “Информатика”. [….] Любой сможет прийти на тендер, поучаствовать и при нарушениях со стороны заказчика оспорить его в АМКУ. То есть, эта закупка полностью отличается от закупки, про которую шла речь раньше: когда КП “Информатика” приобрело камеры на сумму 64,9 млн грн прямым договором, аргументируя это необходимостью преодолеть эпидемию, хотя никаких камер в соответствующем постановлении КМУ нет”, — объясняет Василий Задворный, генеральный директор ГП “Прозорро”.

Что о DDoS думают специалисты по кибербезопасности?

Мы спросили у экспертов по кибербезопасности, что они думают о серьезности такой DDoS-атаки. И как оценивают вероятность того, что она связана с проходящим тендером.

Шон Таунсенд, сооснователь «Украинского киберальянса»:

14 апреля появился пресс-релиз о том, что сайты городской администрации были атакованы атакой «отказ в обслуживании» (когда из-за «мусорных запросов» к сервису не могут достучаться обычные пользователи).

Судя по тем скриншотам, которые опубликовал у себя в Facebook господин Назаров, атака не выгядит ни «массированной», и уж тем более не первой атакой такого объема в Украине. С технической точки зрения — довольно заурядное событие, любой грамотный системный администратор должен уметь справляться с подобными неприятностями.

Неравнодушные граждане тут же нашли тендер, объявленный городской администрацией на покупку оборудования для защиты. По странному совпадению, сумма тендера — снова 65 миллионов. И хотя точной спецификации нет, возникают большие сомнения в целесообразности данной покупки. Как по стоимости, так и по характеристикам она превышает потребности КГГА.

Егор Аушев, сооснователь Cyber School & Cyber Unit:

Было ли совпадением объявление тендера на закупку оборудования от DDoS-атак и начало самих атак на КМДА — сложно сказать, еще сложнее объяснить, чем руководствуются чиновники, которые закупают оборудование на десятки миллионов долларов для решения точечной проблемы, но не смотрят на вопрос кибербезопасности комплексно.

Если КГГА озадачилась вопросом кибербезопасности, то начинать нужно не с закупки оборудования, а с комплексного аудита всех ресурсов, тестов на проникновение, на устойчивость систем, а также обучение персонала и руководства стандартным правилам кибер гигиены, поиск слабых мест в системе.

Как известно, 90% всех взломов происходят из-за  сотрудника, поскольку необученного человека «взломать» и спровоцировать на действие значительно легче, чем компьютер. На сегодня большинство городских ресурсов (некоторые из них являются объектами критической инфраструктуры), к сожалению, может взломать даже средний студент КПИ, поскольку они практически не имеют защиты, а закупка оборудования для защиты от DDoS не решит общей проблемы.

Одним из вариантов решений комплексной проблемы может быть использование «белых» хакеров — специалистов из частного сектора.

Во всем цивилизованном мире для реальной защиты гос и местных органов привлекаются «белые» хакеры, которые за небольшое вознаграждение (или официальную благодарность) ищут уязвимости и указывают на проблемы. Первым подобным примером в Украине была компания Prozorro, которая всего за несколько тысяч долларов организовала хакатон, в итоге 20 украинских «белых» хакеров соревновались целый день в рамках hack prozorro и смогли найти уязвимости в их системе. Креатив и современные подходы могут заменить многомиллионные расходы на закупки. 

Сергей Харюк, ведущий аналитик по кибербезопасности в Hacken:

После ознакомления с тендерными вопросами у меня возникли две мысли:

  • Распил. В данном случае действительно может быть все как описал Шон в своем посте: заказали дешевенький DDoS, дабы была формальная причина, такая услуга обошлась бы бюджету в пару сотен баксов.
  • Руководителю IT/Security влетело за недоступность какого-то сервиса, и он хочет купить чудо-кнопку «Сделать хорошо». В данном случае мне видится эмоциональное решение, которое обусловленно приближением выборов.

Касательно самой DDoS-атаки, по количеству уникальных IP похоже, что преувеличили или неверно посчитали. Такую инфраструктуру сейчас держать достаточно сложно. Легендарный ботнет Mirai, который положил половину Amazon (имеются в виду сервисы, которые хостились в AWS — ред.) в США, насколько помню, насчитывал до 100 000 уникальных IP, а 1,5 млн — даже не знаю, кто смог бы такое потянуть.