Посеять хаос и раздор. К чему должен быть готов бизнес после кибератаки 13 января

31 января, 08:00
НВ Премиум
Виктор Жора и Александр Потий встретились с бизнесом, чтобы предупредить (Фото:Европейская бизнес ассоциация)

Виктор Жора и Александр Потий встретились с бизнесом, чтобы предупредить (Фото:Европейская бизнес ассоциация)

Более двух недель назад произошла крупнейшая за четыре года атака на украинскую государственную IT-инфраструктуру. Сделал ли выводы отечественный госсектор, нашел ли виновных, и к чему стоит быть готовыми государству и бизнесу в дальнейшем?

«Раньше мы гуляли по криминальному району и не боялись. Сейчас мы гуляем по тому же криминальному району и боимся», — с горечью шутит Виктор Жора. Замглавы Госспецсвязи по вопросам цифрового развития, цифровых трансформаций и цифровизации в 2017 году, работая тогда в частном секторе, помогал бизнесу ликвидировать последствия атаки вируса Petya. Вторая по масштабности, после Petya, атака на украинскую государственную ИТ-инфраструктуру, считает Виктор Жора, показала, что уроки Petya были усвоены государством, но бизнес уже успел расслабится.

Видео дня

В четверг, 27 января, два заместителя руководителя Государственной службы специальной связи и защиты информации — Александр Потий и Виктор Жора — встретились с Европейской бизнес ассоциацией, чтобы рассказать о причинах и последствиях кибератаки 13 января, и объяснить бизнесу, какие риски могут ожидать бизнес в ближайшем будушем.

НВ Бизнес рассказывает главное из встречи.

Кого и как атаковали: хронология событий

«Начиная с атаки на избирательную систему в мае 2014 стало понятно, что киберагрессия является составной частью гибридной войны против Украины. Сейчас, на фоне заметного напряжения на границе, усложнений геополитической ситуации, мы наблюдаем повышение активности и в киберпространстве», — говорит Виктор Жора.

Правительственная команда реагирования на киберугрозы (CERT-UA) и Центр противодействия киберугрозам в составе Госспецсвязи (SOC) начиная с конца прошлого года практически ежедневно получала предупреждения о возможных кибератаках на критическую инфраструктуру страны. Однако, в ночь с 13 на 14 января произошла атака, которую, говорят в ГСССЗИ, было тяжело предусмотреть.

«Случился так называемый дефейс (изменение главной страницы) около 90 сайтов государственных организаций. Около 30 сайтов были в ручном режиме по нашей команде и команде коллег с СБУ и Киберполиции отключены», — рассказывает замглавы ГСССЗИ.

На атакованных ресурсах тогда появилась картинка с информацией о том, что якобы персональные данные украинцев попали в публичный доступ. На ней также размещалась запись на польском, которая должна была убедить в якобы причастности польской стороны к атаке (в картинку были включены координаты в Варшаве). В Госспецсвязи уверены: такие действия были направлены на то, чтобы посеять хаос, нестабильность и отвлечь внимание от реальных авторов.

«Стоит отметить, что первое сообщение в СМИ о кибератаках появилось на страницах российских информационных агентств около 3 часов по киевскому времени. Очевидно, что „коллеги с той стороны“ не спали всё это время и наблюдали, что же здесь происходит», — добавляет Виктор Жора.

В 4 утра по тревоге был поднят Государственный центр киберзащиты и силовые ведомства (у ГСССЗИ нет права вести расследования).

«По мере реагирования на инцидент, мы поняли, что часть внешней инфраструктуры ведомств была уничтожена. Позже было получено подтверждение, что инфраструктура уничтожалась хакерами в ручном режиме», — рассказал замглавы Госспецсвязи.

«Внешняя инфраструктура», объясняет он, — это «сайт и всё, что находится за сайтом». Например, в случае с атакой на сайт МТСБУ были уничтожены вебсайты, сервера приложений, которые непосредственно отвечали на запросы к центральной базе данных. Сама база осталось нетронутой, но понадобилось определенное время, чтобы возобновить инфраструктуру.

«То же самое, по нашему мнению, касается и других структур. Это менее 10 организаций, в которых пострадало что-то больше, чем вебсайт», — добавил Жора.

Через 2 дня после инцидента в ГСССЗИ получили информацию об использовании в рамках атаки специальной программы WhisperKill — зловреда, который маскируется под криптовымогатель, но по сути им не является, номинально требуя средства за расшифровку информации, а фактически уничтожал её. Использование этой программы не было массовым, говорят в Госспецсвязи: на данный момент подтверждено её применение только в двух ведомствах. Названия ведомств озвучены не были. На уточняющий вопрос журналиста НВ Бизнес Виктор Жора сообщил, что не может их назвать. Стоит отметить, что, подводя итоги атаки, замглавы ГСССЗИ заявил о применении WhisperKill «по меньшей мере в двух ведомствах».

«Вначале мы были очень осторожны в выводах [о применении WhisperKill], ведь CERT-UA практически каждый день регистрирует использование программ-вымогателей — это достаточно популярный [способ работы злоумышленников]. Мы должны были проверить, является ли использование WhisperKill частью атаки», — объясняет Виктор Жора. В Госспецсвязи ещё в пятницу, 14 января, видели следы его применения (об этом заявили также в Microsoft), но подтверждение того, что это часть единой акции против украинского госсектора, получили позже.

Основной версией осуществления атаки в ГСССЗИ считают атаку на цепочку поставок (Supply chain attack) — использование инфраструктуры «коммерческой компании, которая имела доступ к атакованным министерствам, ведомствам и организациям» с правами администратора [ресурсов], что «позволило, скомпрометировав инфраструктуру этой коммерческой компании, получить доступ к остальным инфраструктурам и осуществить там свои разрушительные действия».

Второй вектор атаки — использование уязвимостей системы управления контентом на базе October CMS.

«Она является уязвимой, если вовремя не обновить её, и, действительно, она не была обновлена, но эксплуатация этой уязвимости возможна только при соблюдении нескольких условий — очевидно, что создать их даже при условиях правильно конфигурации было очень сложно, поэтому, скорее всего, уязвимость использовалась уже после проникновения в инфраструктуру коммерческой компании», — говорит Виктор Жора.

Третий вектор атаки — эксплуатация уязвимости Log4j, «присущей в огромном количестве веб-систем».

«У нас есть версия, что именно эта уязвимость позволила в некоторых организациях проникнуть за периметр этих организаций и атаковать те рабочие станции, которые пострадали из-за WhisperKill», — говорит замглавы ГСССЗИ.

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X