Посіяти хаос і розбрат. До чого має бути готовий бізнес після кібератаки 13 січня

31 січня, 08:00
НВ Преміум
Віктор Жора та Олександр Потій зустрілися з бізнесом, щоб попередити (Фото:Європейська бізнес асоціація)

Віктор Жора та Олександр Потій зустрілися з бізнесом, щоб попередити (Фото:Європейська бізнес асоціація)

Більш як два тижні тому відбулася найбільша за чотири роки атака на українську державну IT-інфраструктуру. Чи зробив висновки вітчизняний держсектор, чи знайшов винних, і до чого варто бути готовими державі та бізнесу надалі?

«Раніше ми гуляли кримінальним районом і не боялися. Зараз ми гуляємо тим самим кримінальним районом і боїмося», — з гіркотою жартує Віктор Жора. Заступник голови Держспецзв’язку з питань цифрового розвитку, цифрових трансформацій та цифровізації у 2017 році, працюючи тоді у приватному секторі, допомагав бізнесу ліквідувати наслідки атаки вірусу Petya. Друга за масштабністю після Petya атака на українську державну ІТ-інфраструктуру, вважає Жора, показала, що уроки Petya були засвоєні державою, але бізнес вже встиг розслабитися.

Відео дня

У четвер, 27 січня, два заступники керівника Державної служби спеціального зв’язку та захисту інформації — Олександр Потій та Віктор Жора — зустрілися з Європейською бізнес асоціацією, щоб розповісти про причини та наслідки кібератаки 13 січня, та пояснити бізнесу, які ризики можуть очікувати бізнес у найближчому майбутньому.

НВ Бізнес розповідає головне із зустрічі.

Кого та як атакували: хронологія подій

«Починаючи з атаки на виборчу систему у травні 2014 року, стало зрозуміло, що кіберагресія є складовою гібридної війни проти України. Зараз, на тлі помітної напруги на кордоні, ускладнень геополітичної ситуації, ми спостерігаємо підвищення активності і в кіберпросторі», — каже Віктор Жора.

Урядова команда реагування на кіберзагрози (CERT-UA) та Центр протидії кіберзагрозам у складі Держспецзв’язку (SOC) починаючи з кінця минулого року практично щодня отримували попередження про можливі кібератаки на критичну інфраструктуру країни. Однак у ніч з 13 на 14 січня відбулася атака, яку, кажуть у ДССЗЗІ, було важко передбачити.

«Стався так званий дефейс міна головної сторінки) близько 90 сайтів державних організацій. Близько 30 сайтів було в ручному режимі за нашою командою та командою колег із СБУ та Кіберполіції відключено», — розповідає заступник голови ДССЗЗІ.

На атакованих ресурсах тоді з’явилася картинка з інформацією про те, що нібито персональні дані українців потрапили до публічного доступу. На ній також розміщувався запис польською, яка мала переконати в нібито причетності польської сторони до атаки картинку були включені координати у Варшаві). У Держспецзв’язку впевнені: такі дії були спрямовані на те, щоб посіяти хаос, нестабільність та відвернути увагу від реальних авторів атаки.

«Слід зазначити, що перше повідомлення у ЗМІ про кібератаки з’явилося на сторінках російських інформаційних агентств близько 3 години за київським часом. Очевидно, що „колеги з того боку“ не спали весь цей час і спостерігали, що тут відбувається», — додає Віктор Жора.

О 4 ранку по тривозі було піднято Державний центр кіберзахисту та силові відомства ДССЗЗІ немає права вести розслідування).

«У міру реагування на інцидент, ми зрозуміли, що частину зовнішньої інфраструктури відомств було знищено. Пізніше було отримано підтвердження, що інфраструктура знищувалася хакерами в ручному режимі», — розповів заступник голови Держспецзв’язку.

«Зовнішня інфраструктура», пояснює він, — це «сайт і все поза сайтом». Наприклад, у разі атаки на сайт МТСБУ було знищено вебсайти, сервери застосунків, які безпосередньо відповідали на запити до центральної бази даних. Сама база залишилася недоторканою, але знадобився певний час, щоб відновити інфраструктуру.

«Те саме, на нашу думку, стосується й інших структур. Це менше 10 організацій, у яких постраждало щось більше, ніж веб-сайт», — додав Жора.

Через 2 дні після інциденту в ДССЗЗІ отримали інформацію про використання в межах атаки спеціальної програми WhisperKill — шкідника, який маскується під криптовимагач, але по суті ним не є, номінально вимагаючи кошти за розшифровку інформації, а фактично знищуючи її. Використання цієї програми не було масовим, кажуть у Держспецзв’язку: на цей момент підтверджено її застосування лише у двох відомствах. Назви відомств озвучені не були. На запитання журналіста НВ Бізнес Віктор Жора повідомив, що не може їх назвати. Варто зазначити, що, підбиваючи підсумки атаки, заступник голови ДССЗЗІ заявив про застосування WhisperKill «щонайменше у двох відомствах».

«Спочатку ми були дуже обережні у висновках [про застосування WhisperKill], адже CERT-UA практично щодня реєструє використання програм-вимагачів — це досить популярний [спосіб роботи зловмисників]. Ми повинні були перевірити, чи є використання WhisperKill частиною атаки», — пояснює Віктор Жора. У Держспецзв’язку ще у п’ятницю, 14 січня, бачили сліди його застосування (про це заявили також у Microsoft), але підтвердження того, що це частина єдиної акції проти українського держсектора, отримали пізніше.

Основною версією здійснення атаки ДССЗЗІ вважають атаку на ланцюжок поставок (Supply chain attack) — використання інфраструктури «комерційної компанії, яка мала доступ до атакованих міністерств, відомств та організацій» з правами адміністратора [ресурсів], що «дозволило, скомпрометувавши інфраструктуру цієї комерційної компанії, отримати доступ до інших інфраструктур і здійснити там свої руйнівні дії».

Другий вектор атаки — використання вразливостей системи керування контентом на базі October CMS.

«Вона є вразливою, якщо вчасно не оновити її, і, дійсно, вона не була оновлена, але експлуатація цієї вразливості можлива лише за дотримання кількох умов — очевидно, що створити їх навіть за умов правильної конфігурації було дуже складно, тому, швидше за все, вразливість використовувалася вже після проникнення в інфраструктуру комерційної компанії», — каже Віктор Жора.

Третій вектор атаки — експлуатація вразливості Log4j, «притаманної величезній кількості веб-систем».

«У нас є версія, що саме ця вразливість дозволила в деяких організаціях проникнути за периметр цих організацій і атакувати ті робочі станції, які постраждали через WhisperKill», — каже заступник голови ДССЗЗІ.

Показати ще новини
Радіо НВ
X