Из открытых источников

Уходящий год ознаменовался большим, если не рекордным в истории Украины количеством хакерских атак на государственные информационные порталы и компании. Хакеры нарушили работу энергетической и финансовой системы страны, военных программ. Чтобы оценить масштаб, посмотрите на список проблем, в которых обвиняли хакеров за последние полтора года.

Несколько атак на "Укрэнерго", обесточивание Западной Украины и Киева;

Взлом системы Минфина, Госказначейства и Пенсионного фонда;

Атака на сайты Минобразования, Минобороны, Мининфраструктуры, СНБО;

Взлом Твиттера президента, сайта министра внутренних дел;

Повреждение серверов "Укрзализныци";

Вмешательство в работу Android-приложения Вооруженных сил.

И это лишь самые громкие взломы. Масштаб очень серьезный. "В целом на протяжении последних двух месяцев на объектах пяти ведомств и тридцати одного государственного информационного ресурса обнаружено около шести с половиной тысяч спланированных кибератак", - сказал Петр Порошенко во время заседания Совета национальной безопасности и обороны. Власти кивают в сторону России, некоторые атаки связывают с российскими хакерами и западные компании, специализирующейся на кибербезопасности. А тем временем эксперты говорят, что безопасность государства оказалась под угрозой, и необходимо модернизировать защитное оборудование.

Украинскую артиллерию на Донбассе в 2014 году уничтожали хакеры

В декабре этого года аналитики CrowdStrike - американской компании, специализирующейся на кибербезопасности, выпустили доклад, в котором рассказали, как широко применяемое в ВСУ приложение для операционной системы Android, разработанное офицером украинской артиллерии в целях упрощения расчетов при ведении огня, могло быть использовано российским правительством в качестве средства получения разведданных, например, о местонахождении украинских правительственных сил.

Новости по теме: В США выявили крупнейшую мошенническую операцию российских хакеров

В 2014 году Fancy Bear создала для скачивания вредоносный вариант приложения и разместила его на украинских военных форумах. В CrowdStrike обнаружили, что вариант вредоносной программы Fancy Bear применялся для взлома Android-приложения, разработанного, чтобы помочь артиллерийским войскам более эффективно наводить свои устарелые гаубицы на цели. Как правило, для наведения украинских буксируемых гаубиц Д-30, времен советской эпохи, необходимо несколько минут, данные для наведения вводятся вручную. С Android-приложением это занимало 15 секунд, обнаружили в CrowdStrike. Команда Fancy Bear, очевидно, взломала приложение, позволив ГРУ использовать GPS-координаты телефонов для отслеживания позиций украинских войск. Таким образом, российская армия могла наводить на украинских военных артиллерию и другое оружие. Украинские подразделения, задействованные на востоке Украины, находились на передовой конфликта с поддерживаемыми Россией сепаратистскими силами на его ранних стадиях в конце 2014 года, отметили CrowdStrike.

К концу 2014 года число российских войск в регионе достигло примерно 10 тысяч. Android-приложение помогало российским войскам определять позиции украинской артиллерии. По данным Международного института стратегических исследований, за два года конфликта украинские артиллерийские войска потеряли более 50 процентов своего оружия и более 80 процентов своих гаубиц Д-30, это самый высокий процент потерь артиллерийского оружия в арсенале, говорится в докладе. Приложение не было доступно в Android-магазине и распространялось только через страницу его разработчика в социальной сети, украинского офицера-артиллериста Ярослава Шерстюка, говорят в CrowdStrike. Активация приложения была возможна только после связи с разработчиком и отправки кода для индивидуальной загрузки приложения.

Новости по теме: Грицак: Украина выбрана полигоном для хакерских экспериментов

Сооснователь и ведущий эксперт по технологиям CrowdStrike Дмитрий Альперович подчеркивает, что украинский пример показателен для понимания, насколько сильна связь между хакерами Fancy Bear и российскими военными. "Для того, чтобы использовать полученные в результате взлома данные на поле боя, нужна тесная интеграция, - говорит Альперович. - Такие задачи находятся в компетенции ГРУ... По нашему мнению, это очень убедительное доказательство связи этих двух (Fancy Bear и ГРУ) организаций".

Отключили все Прикарпатье

Между тем одна из наиболее значимых и опасных атак была совершена в декабре 2015 года. Тогда хакерам удалось отключить от электросети отдельный регион – Прикарпатье, вмешавшись в работу "Прикарпатьеоблэнерго". Вследствие этой "работы" более 700 тыс. жителей региона остались без электричества на несколько часов.

IT-система предприятия пострадала настолько сильно, что каждую из подстанций пришлось включать вручную. При этом в “Прикарпатьеоблэнерго” причиной неполадок скромно назвали "вмешательством посторонних лиц в работу телемеханики – автоматической системы контроля и управления оборудованием".

Однако, исследовав эту ситуацию, международные компании и организации, такие как SANS ICS, ESET и Symantec, выяснили, что электричество было отключено с помощью хакерской атаки с использованием вредоносного вируса Black Energy. По данным Symantec, за семейством вирусов Black Energy стоит группировка Sandworm, которая орудует против промышленных объектов Украины, других стран Европы и даже против НАТО.

Новости по теме: Российские хакеры могут быть причастными ко взлому секретных файлов Бундестага

Руткит BlackEnergy, который открыл доступ к внутренней сети энергокомпаний, попал на компьютеры за полгода до включения деструктивной функции.

Согласно заявлению Службы безопасности Украины (СБУ), данная хакерская атака была попыткой российских спецслужб атаковать компьютерные сети энергетического комплекса Украины. Американская компания iSight Partners, специализирующаяся на вопросах киберразведки, утверждает, что Sandworm – это российская группа хакеров и именно она причастна к беспрецедентному отключению электроэнергии в Украине. Этот случай заинтересовал даже Центральное разведывательное управление, Агентство национальной безопасности и Департамент внутренней безопасности США, которые взялись его расследовать.

Позже вирус Black Energy Госслужба спецсвязи Украины обнаружила в сети аэропорта "Борисполь". "Специалисты Госслужбы спецсвязи предотвратили возможную хакерскую атаку со стороны России. Вчера специалисты связи обнаружили, что одна из рабочих станций в аэропорту "Борисполь" была инфицирована вирусом Black Energy. Инфицированный компьютер был изъят из компьютерной сети аэропорта, а об инциденте были проинформированы эксперты группы CERT UA", — сообщил спикер администрации президента Украины по вопросам АТО Андрей Лысенко.

"Поскольку в современном мире технические средства устроены таким образом, что достоверно утверждать, что именно этот человек или эта организация совершила кибератаку, очень сложно. За исключением тех случаев, когда конкретный человек или конкретная организация берет за нее на себя ответственность", – отметил глава представительства компании, которая является эксклюзивным дистрибьютором продуктов ESET в Украине.

В 2015 году версия с российскими хакерами была еще не очень популярной. Тем более, в последующих атаках власти обвиняли уже свои хакерские группы.

Финансы тоже под угрозой

Пик хакерских атак пришелся на конец 2016 года. 6 декабря хакеры взломали сети Госказначейства, Министерства финансов Украины и Пенсионного фонда. При входе на сайт службы происходила переадресация на ресурс www.whoismrrobot.com. "Мы зажгли фитиль революции. И теперь решаем, пошкворчит ли он и умрет, или по-настоящему воспламенится. Наша настоящая работа только начинается". Это послание хакеры разместили на главной странице ресурса. Отметим, что казначейская служба является центральным органом исполнительной власти, который реализует государственную политику в сфере казначейского обслуживания бюджетных средств, бухгалтерского учета исполнения бюджетов.

В результате атаки 7 декабря 2016 года проведение обязательных платежей на сотни миллионов гривен Госказначейством и Пенсионным фондом были заблокированы. Платежи проходили с задержками или не проходили вовсе, не работали сайты Минфина и Госказначейства.

Атака на сайты этих ведомств была остановлена спустя два дня, 8 декабря. Согласно сообщению на официальной странице Минфина в Facebook, Госказначейство возобновило платежи, внутренние сети, и базы данных начали работать в штатном режиме, вся информация была сохранена. При этом в результате атаки были поврежденные серверы госструктур. В Министерстве финансов отметили, что целью хакеров был срыв бюджетного процесса, реформы Минфина и подрыв доверия к системе кибербезопасности правительства.

Новости по теме: На сайты Минфина и Госказначейства осуществили хакерскую атаку с целью сорвать бюджетный процесс

Затем сотрудник госпредприятия "Национальные информационные системы", которое занимается сопровождением госреестров, написал в Facebook, что "вирус, уложивший казну, носит название killdisk". Это популярная программа, у которой много разновидностей. Она доступна в исходных кодах, поэтому злоумышленники всегда могут ее модифицировать до неузнаваемости, чтобы антивирусные программы эту программу не обнаружили.

Программа killdisk применялась при атаках с помощью BlackEnergy на энергокомпании Украины. Эксперты говорят, что там была другая модификация killdisk. Этот троян уничтожает информацию методом перезаписывания, что делает невозможным ее восстановление.

Кабмин после атаки выделил Минфину и Госказначейству 80 млн грн на защиту от хакеров.

Не российские, свои преступники

Ночью 14 декабря на шесть серверов Приднепровской железной дороги (ПАО "Укрзализныця") была осуществлена кибератака, а утром 15 декабря была атакована система распределения пустых грузовых вагонов. "Выдаем бумажные документы для машинистов. Все вопросы безопасности движения контролируются. Работает радио и телеграфная связь. Работает продажа билетов в кассах", – сообщил глава "Укрзализныци" Войцех Балчун. Он также отметил, что существовали проблемы с диспетчерской системой энергообеспечения.

Топ-менеджмент УЗ в этой атаке не увидел следа РФ, зато обвинил своих же украинских коррупционеров. По мнению топ-менеджера, хакерская атака - это "резкая реакция действующей коррупционной системы на госпредприятии". Балчун заявил, что давление и угрозы в адрес членов его команды связаны с запуском автоматизированной системы распределения пустых грузовых вагонов, запуск которой был запланирован на 28 декабря. Впрочем, министр инфраструктуры Владимир Омелян заявил, что "Укрзализныцю" атаковали украинские хакерские группы по заказу “неустановленного лица из Санкт-Петербурга", что это был отвлекающий маневр, чтобы в то время украсть данные пассажирских перевозок. По словам Омеляна, атаки на Минфин и Госказначейство были осуществлены аналогичным образом. Отметим, что атака на сайт самого Министерства инфраструктуры произошла 16 декабря.

Новости по теме: DDOS-атаку на информационную сеть УЗ совершили украинские хакеры по заказу из РФ, - Омелян

Буквально неделей ранее правоохранители разоблачили группу киевских хакеров, которые несанкционированно вмешивались в работу Государственного реестра прав на недвижимое имущество. Мошенники снимали аресты с объектов недвижимости и перепродавали их, а за свои услуги брали 10—15 процентов от стоимости объекта.

Стоит также добавить, что 23 декабря 2016 года хакерам удалось нарушить работу сайта Министерства образования Украины. Сайт МОУ был выведен из строя на несколько дней.

Госорганы оказались не готовы

В отчете CyS Centrum LLC, которая занимается анализом киберугроз, отмечается, что атаки на Минфин и Госказначейство очень похожи на те атаки, которые были совершены в декабре 2015 года на "Укрэнерго". Эксперты компании отмечают, что атаки на украинские финучреждения могли начаться еще в июле-августе. "Их ІТ-ресурсы стали уязвимы, как минимум, в марте 2015 года. Вирус рассылается через электронную почту. Сотрудник той или иной организации открывает письмо и "выпускает на волю" вредоносную программу. Она начинает ждать своего часа Х", – говориться в сообщении компании.

Новости по теме: В России ФСБ по указанию Путина создала антихакерский центр, - СМИ

Несмотря на то, что активно атаковать Украину хакеры начали еще в прошлом году, украинские госорганы оказались абсолютно не готовыми к новым виткам киберугроз. По словам директора компании “Криптософт” Геннадия Чепурды, в связи с развитием технологий хакерские атаки будут только усиливаться, а при нынешней ситуации с устаревшим оборудованием в госорганах, осуществлять атаки не составляет большого труда.

"До последнего времени государственные органы мало уделяли внимания вопросам кибербезопасности. Сейчас этот вопрос начинают поднимать на уровне государства", - отмечает он, добавив, что одной из причин уязвимости госорганов также является отсутствие квалифицированных специалистов в вопросах кибербезопасности. Видимо, технические специалисты наконец объяснили чиновникам, что им недостаточно серверов для резервного копирования, что существующее оборудование слабое или устаревшее.

Новости по теме: Трамп поручит Пентагону разработать план защиты инфраструктуры США от атак хакеров

С ним соглашается и Алексей Герасимчук. По его словам, то, что сейчас происходит, это в большей мере неготовность государственных компаний быть атакованными настолько профессионально."Украину с ног на голову перевернула ситуация с "Укрэнерго" в прошлом году, и в этом году этот процесс продолжился", – отметил он.

В ночь с 17 на 18 декабря на подстанции "Северная" произошел сбой в автоматике управления, из-за чего потребители северной части правобережья Киева и прилегающих районов области были обесточены. Глава НЭК "Укрэнерго" Всеволод Ковальчук предположил, что основной версией является внешнее вмешательство через сети передачи данных.

В зоне риска все украинцы

Нельзя сказать, что хакерские атаки происходят только с госорганами. Это происходит со всеми. Вплоть до того, что жертвой кибертеррора может стать домашний пользователь, который вообще ни о чем не подозревает. “Чтобы скрыть следы своей деятельности, злоумышленники используют каскад компьютеров жертв для того, чтобы переадресовывать сигнал (вредоносной вирус) и тем самым прятаться, чтобы его не могли вычислить", – отмечает Герасимчук.

По его словам, также существует ситуации, когда от имени человека отправляются письма с вредоносным ПО. Были также ситуации, когда заражали компетентный орган для того, чтобы отправить от его имени потенциальным жертвам письма и они их открывали, поскольку доверяли авторитетному отправителю. “Поэтому кибербезопасность касается не только обычного человека, госорганов или частной компании - это касается всех участников, которые находятся в сети интернет", – говорит эксперт, добавив, что нынешние атаки происходят не только с компьютеров, но и с мобильных устройств.

Новости по теме: Хакеры из РФ будут пытаться влиять на итоги выборов в европейских странах до 2018 года, - The Wall Street Journal

Отметим, что законопроект о кибербезопасности принят Верховной Радой только в первом чтении. А специальный координационный центр, который заработал летом, так и не показал своей эффективности.

Максим Яцков