Україна пережила найпотужнішу за останні роки кібератаку на урядові сайти і ресурси.
Близько четвертої ранку в п'ятницю, 14 січня, всі оперативні сили української системи кіберзахисту були підняті по тривозі. Невідомі хакери почали потужну і широку атаку на більш ніж 70 веб-сайтів державних органів і міністерств.
Близько десятка з них вдалося відразу ж зламати. Зокрема під нападом опинилися Міністерство закордонних справ, Міністерство освіти і науки, Вища рада правосуддя, база Транспортного страхового бюро, система електронного суду, а також портал держпослуг "Дія".
"За останні чотири роки це найпотужніша атака. Принаймні по її охопленню", - заявив заступник голови Держспецзв'язку Віктор Жора.
Через три дні більшість інформаційних ресурсів відновили роботу. Частина сервісів, як наприклад реєстр транспортних страхових полісів, досі "лежать".
Правоохоронці та комп'ютерні фахівці продовжують з'ясовувати, якої шкоди завдала атака і які ще "подарунки" залишили хакери всередині українських веб-ресурсів. Головний підозрюваний у цьому злочині вже названий. Влада впевнена, що за нападом стоїть Росія.
Підготовлена провокація
"Вся інформація про вас стала публічною, бійтеся і чекайте гіршого. Це вам за ваше минуле, сьогодення і майбутнє", – оголошення з такими словами з'явилося на стартовій сторінці зламаних сайтів рано вранці 14 січня.
Хакери російською, українською та польською розмістили повідомлення з однаковим текстом. З нього випливало, що кібератака – це помста Україні за "Волинь, ОУН УПА, за Галіцію, за Полісся і за історичні землі".
Більш ніж очевидна спроба зломщиків перекинути відповідальність на Польщу не вдалася. Наприклад, Центр стратегічних комунікацій та інформаційної безпеки відразу ж звернув увагу, що текст польською писав "не носій мови".
В РНБО зазначили, що цей текст був просто переведений через Google-перекладач. У Варшаві і зовсім засудили атаку на українські урядові ресурси і висловили стурбованість опублікованою дезінформацією.
Перші заяви відповідальних посадових осіб свідчили про те, що кібератака – це всього лише "дефейс" (втручання в роботу сайту для зміни його стартової сторінки), а бази даних держорганів не постраждали. Частину інформаційних ресурсів свідомо відключили, щоб уникнути нових атак, а деякі цифрові продукти, наприклад мобільний додаток "Дія", і взагалі змогли уникнути ураження.
До розслідування механізму нападу і для пошуку його організаторів українські силовики залучили іноземних колег. Вже незабаром вони прийшли до висновку, що за першим "поверхневим" зламом може ховатися впровадження в урядові системи куди більш небезпечного вірусу-вимагача. Його метою може бути активація в певний момент і знищення всіх даних на "зараженому" комп'ютері. Це припущення підтвердилось 18 січня, коли такий вірус WhisperGate був дійсно виявлений на ресурсах деяких постраждалих установ.
"Дефейс сайтів був лише прикриттям для більш деструктивних дій, які відбувалися за лаштунками, і наслідки яких ми відчуємо найближчим часом", – пояснив РБК-Україна колишній глава Кіберполіції, а нині профільний заступник секретаря РНБО Сергій Демедюк.
За його словами, перші ознаки вказують на те, що напад могли скоїти хакери з об'єднання UNC1151.
Ця група, яку вважають пов'язаною зі спецслужбами Білорусі, в 2020-2021 роках провела ряд операцій в кіберпросторі Польщі та Німеччини під умовною назвою Ghostwriter. Вона включала в себе крадіжку електронних листів, підробку облікових записів політиків в соцмережах і витік їх персональних даних. Найчастіше, атаки білоруських хакерів були спрямовані на загострення політичних протиріч в країнах Європейського Союзу і критику блоку НАТО.
Крім білорусів до нападу на українські сайти можуть бути причетні відомі російські угруповання, зазначив Демедюк. Наприклад, сумнозвісна Cozy Bear (вона ж APT29 або Dukes).
Шкідливе програмне забезпечення, яке використовували для шифрування деяких серверів українських держорганів, за своїми характеристиками дуже схоже на те, яке "стоїть на озброєнні" цього угруповання, афілійованого зі спецслужбами Росії. До речі, саме її звинувачували у зламі серверів Демократичної партії США перед президентськими виборами 2016 року.
Цілком ймовірно, що до останньої атаки проти нашої країни причетні ще одні росіяни – Sandworm (також відомі як Telebots, BlackEnergy, Voodoo Bear). Раніше це угруповання вже намагалося завдати шкоди українським енергосистемам, атакуючи окремі обленерго і спровокувавши відключення світла на заході країни.
Ці хакерські угруповання могли також діяти в змові під час нападу на нашу державу в середині січня. "Варто перевірити факти можливого об'єднання зазначених груп для атак проти України", - уточнив колишній голова Кіберполу.
Вразливе місце
Як злочинцям вдалося проникнути в урядові ресурси? Згідно даних Держспецзв'язку і СБУ, вони могли використовувати supply chain attack, тобто атаку на "ланцюг поставок".
Потім хакери використовали в своїх цілях відомі вже більш ніж півроку вразливості в системі управління вмістом сайту October CMS та бібліотеці журналювання (логування) Java-програм Log4j. Після цього веб-ресурси зазнали масованих DDoS-атак (одночасне "бомбардування" сайту однотипними запитами, щоб вивести його з ладу).
Злочинцям вдалося вразити службову інформацію на окремих серверах і користувацьких комп'ютерах в держорганах. Як випливає з опублікованої СБУ інформації, багатьох проблем можна було уникнути, якби, наприклад, програма October CMS була вчасно оновлена до останньої версії.
"Це могла бути просто недбалість. При чому як власника-розпорядника інформаційної системи, так і державних органів, які мали б забезпечити безпеку. Про цю вразливість було відомо ще з середини минулого року, але ніхто не спромігся просто натиснути кнопочку "оновити", – сказав РБК-Україна голова "Українського кіберальянсу" Артем Карпінський.
Він стверджує, що профільні служби кіберзахисту повинні були б контролювати це питання і не допустити того, що трапилося.
Служба безпеки України, у свою чергу, звертає увагу, що використання давно відомих вразливостей було далеко не єдиним шляхом проведення атаки на урядові ресурси. Справа в тому, що хакери зламали інфраструктуру комерційної компанії, яка мала доступ з правами адміністрування до постраждалих веб-ресурсів.
Більшість постраждалих сайтів були розроблені однією компанією - київською фірмою "Kitsoft" (ТОВ "Комп'ютерні інформаційні технології"). Ця компанія за останні пару років виграла досить багато великих тендерів на створення і підтримку веб-сайтів органів влади. Включаючи і побудову держпорталу онлайн-послуг "Дія".
Серед ключових замовлень лише минулого року - новий сайт Національної поліції (за майже 2 млн гривень), модернізація реєстру власників "картки киянина" (за 2,4 млн гривень), портал фінансової звітності політичних партій (за 3,2 млн гривень). Найбільшим успіхом у 2021 році стало замовлення на розробку веб-порталу електронних послуг за 38,4 млн гривень. Компанію очолює 36-річний київський IT-шник Олександр Єфремов.
Сайт "Kitsoft" також ліг в день кібератаки і станом на 18 січня недоступний. Як пояснюють в компанії, пошкодження її інфраструктури було одним з напрямків зовнішньої агресії, відповідно, було вирішено її "частково призупинити".
Там також кажуть, що напад був багатовекторним, комплексним і складним за своїм характером. "Kitsoft" повідомила, що активно співпрацює з українськими правоохоронцями і займається усуненням наслідків атаки. При цьому компанія стверджує, що ввірені їй урядові ресурси були вчасно протестовані на надійність, програми оновлені, а помилки виправлені.
"Державні сайти, які знаходяться на підтримці нашої компанії, ми вчасно тестуємо на вразливості, виправляємо помилки і оновлюємо. На жаль, не всі замовники замовляють послугу підтримки сайтів, і відповідно у нас немає доступу до них", – сказано в офіційному коментарі компанії, який надано РБК-Україна.
Прихована загроза
"Ця атака не була покликана налякати, це просто демонстрація. Це очевидна і вульгарна демонстрація, яка не вимагає якогось особливого рівня підготовки, щоб її провести", - ромірковує "білий хакер" Артем Карпінський про мотиви невстановлених злочинців, які напали на українські сайти.
За його словами, є два варіанти того, як далі буде розвиватися ситуація. Перший, вказуючи на відносну "слабкість" проведеного кібернападу, не дозволяє вважати його передвісником повномасштабної російської атаки на українську інфраструктуру.
Але є і варіант номер два. Глава "Кіберальянсу"допускає, що "вкрай демонстративна" атака на сайти міністерств була фактором відволікання уваги. Відповідно, вона може слугувати прикриттям для більш серйозної атаки, яка вже реалізовується або може початися найближчим часом.
Саме на відпрацюванні цього сценарію зараз зосереджені як українські, так і іноземні IT-фахівці. Більш того, в матеріалах зарубіжних ЗМІ з посиланням на аналітиків і експертів вже прямо йдеться про те, що нові потужні кібератаки найближчим часом можуть вразити енергетичну і фінансову систему України.
Наприклад, в статті Reuters зазначено, що інцидент 14 січня може стати підготовкою для більш прихованих і серйозних атак на українські ресурси. Вони будуть націлені на критично важливу інфраструктуру, що потенційно призведе до руйнівних наслідків. Перші спроби таких кібернападів російські хакери вже провели в 2015-2017 роках.
Карпінський підкреслив, що не може ні спростувати, ні підтвердити ці прогнози. "Кіберальянс", за його словами, довгий час вів кампанії з пошуку вразливостей в українській інфраструктурі для їх виправлення. Але після того, як хакери організації пару років тому потрапили під кримінальне переслідування, вони припинили цю роботу.
Легкість, з якою був реалізований останній кіберінцидент, додав експерт, не дає йому підстав для "оптимізму" щодо надійності захисту наших критичних об'єктів. У свою чергу, заступник секретаря Радбезу Сергій Демедюк не поділяє побоювання аналітиків.
"Наразі можу сказати, що найближчим часом ймовірність загрози, яка обговорюється населенням про те, що через недавні і майбутні кібератаки вони залишаться без світла, тепла і грошей, низька. Однак все може змінитися в будь- який момент", - сказав він у коментарі РБК-Україна.
На його думку, діджиталізація має дві сторони медалі. З одного боку, це неминуче майбутнє, яке значно прискорює і спрощує всі процеси з надання послуг для українців. З іншого - при недостатній захищеності електронних ресурсів завжди будуть існувати високі ризики несанкціонованого втручання в їх роботу.
"П'ятнична атака була можлива тільки тому, що уроки 2017 року, після атаки NotPetya, переважною більшість не були враховані",- наголосив чиновник.
Тому, зазначив Демедюк, якщо не приділяти достатньо уваги питанням кіберзахисту критичних систем життєдіяльності країни, такі ризики "будуть неминучі". Це стосується не тільки України, вони можливі в будь-якій іншій країні, де питанням кібербезпеки не приділяється належної уваги.
Втім, Міністерство цифрової трансформації впевнене, що заяви про "уразливість" критичної інфраструктури країни і витік персональних даних громадян - це не більше ніж фейки і елементи залякування з боку Росії.
"Її мета - не тільки залякати суспільство. Але і дестабілізувати ситуацію в Україні, зупинивши роботу державного сектора і підірвавши довіру до влади з боку українців", - сказано в заяві Мінцифри.
ОЛЕГ ЧЕРНИШ, РБК-Україна