28 червня 2017, середа

Російські хакери продовжують атакувати. Чи готова Україна захищатися і чим може закінчитися кібервійна

коментувати
Хакери можуть отримувати доступ навіть до тих систем, які не приєднані до інтернету. Для цього використовуються методи соціальної інженерії. Це створює особливий ризик для України, де багато хто думає, що автономні системи управління захищені відсутністю

Хакери можуть отримувати доступ навіть до тих систем, які не приєднані до інтернету. Для цього використовуються методи соціальної інженерії. Це створює особливий ризик для України, де багато хто думає, що автономні системи управління захищені відсутністю

Кіберзлочинці слідом за енергетичними компаніями атакували аеропорт Бориспіль та Укрзалізницю. У НАТО вважають, що вони також могли отримати доступ до військових таємниць українського уряду

«Прихлопнути країну за допомогою кібератаки дуже складно, але не неможливо», - якось сказав Тоомас Хендрік Ільвес, президент Естонії. Україні належить пересвідчитися в цьому. У грудні три регіональних дистриб'ютори електроенергії стали об'єктом безпрецедентної кібератаки за допомогою троянської програми BlackEnergy. Тоді все закінчилося тимчасовим відключенням електрики в 220.000 споживачів. Експерти впевнені, що все тільки починається.

Міністерство енергетики за результатами дослідження грудневої атаки прийшло до думки, що за нею стоять російські хакери. Такий же висновок висловила Елізабет Шервуд-Рендалл, заступник міністра енергетики США.

Атаки не були занадто складними технологічно, але радіти не варто. Хакери-професіонали використовують рівно той рівень технологій, який необхідний для досягнення мети. «Адже немає сенсу купувати Ferrari, щоб возити дітей в школу», - каже в розмові з НВ експерт центру кібербезпеки НАТО Кеннет Гірс

Але трьома обленерго – Київобленерго, Прикарпаттяобленерго і Чернівціобленерго – справа не закінчилася. Ще раніше були атаковані телеканали 1+1 та СТБ, потім – аеропорт Бориспіль і кілька енергокомпаній. Після цього послідувала атака на Укрзалізницю. Виробник рішень у сфері інформаційної безпеки Trend Micro, чий центральний офіс знаходиться в Токіо, заявив про ще одну атаку на велику українську видобувну компанію, не називаючи її імені. Жертви кібератак вкрай неохоче говорять про ці факти, бажаючи всіляко їх приховати.

Однак і це не вичерпний список жертв. Олег Сич, технічний директор українського виробника антивірусів Zillya!, стверджує, що BlackEnergy знайдений в декількох системах у Львові та Маріуполі, а потенційно контрольовані зловмисниками системи можуть розташовуватися по всій країні, чекаючи зручного моменту для атаки.

Чорна мітка BlackEnergy

BlackEnergy присутній на тіньовому ринку хакерського зброї вже не перший рік. На сьогодні існує близько 400 його модифікацій. Більш старі версії можна знайти в безкоштовному доступі, нові коштують грошей. Ключова характеристика BlackEnergy в тому, що він може виступати «ракетоносцем», несучи в собі шкідливі плагіни, здатні руйнувати системи автоматичного управління і робити багато інших небезпечних речей. Зазвичай хтось із співробітників компанії, що стала жертвою атаки, отримує лист з файлом, який потрібно відкрити. Сам лист замасковано під робочу документацію. З відкриттям файлу в систему потрапляє вірус.

Про зараження вірусом BlackEnergy українських обленерго знали ще в жовтні 2015-го, але не змогли запобігти грудневій атаці. Експерти відзначають, що якщо атакуючій програмі на момент атаки вже кілька місяців, це означає одне – атакуючі не очікували ніякої відсічі. Зазвичай ефективний термін життя вірусної програми – 2-4 дні, після чого на ринку з'являється антивірусне рішення проти неї. Хоча, з іншого боку, хакери завжди тестують свої продукти на новітніх антивірусах, щоб випускати якісні віруси, які неможливо виловити.

Особливо люблять BlackEnergy російські хакери, яких вважають ключовим джерелом кіберзагроз у Східній Європі. Ця троянська програма проста у використанні, до того ж російські хакери, як правило, не володіють бюджетами для більш технологічних атак. «Круті хакери для отримання адміністративного доступу до мережі купують на чорному ринку уразливості операційних систем, які коштують $20.000 - 50.000, - розповідає Сич з Zillya! – Оскільки у росіян таких грошей немає, вони використовують методи соціальної інженерії, це їх почерк».

Методи соціальної інженерії дозволяють вибудувати алгоритм можливих дій потрібного співробітника. Це простіше, ніж виходити з ним на зв'язок і намагатися підкупити.

Так, щоб дізнатися адміністративний пароль, росіяни швидше відправлять «троян» з кейлогером – програмою, яка записує всі натиснуті клавіші. Щоб спровокувати ввести пароль адміністратора, вірус забиває жорсткий диск до відмови, в результаті з'являється вимога системи очистити його. Для цього потрібно ввести пароль. Після цього приходить адміністратор і вводить пароль, а кейлоггер записує його і передає зловмисникам. «Наш вірусний аналітик колупав код вірусу, який атакував українські урядові сайти, - продовжує Сич. – Він сказав тоді: так його ламери якісь писали!».

Російський присмак хакерських атак

Про те, що за атакою на українські об'єкти стоять росіяни, говорять і інші факти – IP-адреси атакуючих комп'ютерів, російські номери телефонів при спробі перевантажити колл-центр, типові для росіян помилки при складанні листів українською мовою, час атаки, що співпадає з часовим поясом Москви та Санкт-Петербурга. Джерело в українській IT-компанії, залучене до розслідування СБУ, каже, що у відомства зібрано багато інформації, що доводить причетність росіян.

«Важливо враховувати два чинника при визначенні того, хто стоїть за атаками - можливості і мотивація, - зазначає Надія Костюк, докторант факультету політології Мічиганського університету та працівник ініціативи з глобальної співпраці у кіберпросторі Інституту Схід-Захід. - Росія, звичайно ж, підходить за цими двома критеріям».

Росіянам цілком могли допомагати хакери з ДНР та ЛНР. В цьому регіоні сконцентровано багато фахівців з кібербезпеки. З початком військового конфлікту на Донбасі вже згадана київська антивірусна компанія Zillya! зіткнулася з величезним потоком людей, які шукають роботу та які непогано розбираються в темі інформаційної безпеки. Всі вони – вихідці з Донбасу.

Платить хакерам, швидше за все, російський уряд, передбачає технічний директор компанії Сич. Приватним компаніям немає сенсу оплачувати подібні атаки, оскільки вони не приносять прибутку. Мотивація в цьому випадку політична. Це ще одна причина, чому в атаці не беруть участь найкращі російські фахівці – їм цікавий прибуток, а не політичні аргументи.

Найбільш відомі три хакерські угруповання, які асоціюють з Росією. Це – APT29, Царська команда та КіберБеркут. КіберБеркут вже атакував Україну в минулому – на його рахунку проникнення в систему Центральної виборчої комісії в травні 2014-го. На боці російських інтересів іноді діє команда Anonymous Ukraine, яка нападає на українські об'єкти і виступає за повну незалежність країни як від Росії, так і від Заходу.

Знають смак хакерських атак і Адміністрація президента, і Кабінет міністрів. Російські хакери не вперше атакують інші країни – у 2007-му вони атакували Естонію і в 2008-му Грузію. Обидві країни здійснювали свої спроби вирватися з російської політичної орбіти.

Експерти відділу НАТО з кібербезпеки відзначають, що особливий ризик для України несе прихильність жителів країни до використання російських соціальних мереж ВКонтакте і Однокласники, російського поштового сервісу Mail.ru, російського пошукача Yandex і російської антивірусної продукції Kaspersky. Спецслужби Росії цілком можуть використовувати ці продукти для дій, спрямованих проти України.

Ще одну версію можливого джерела кібератак на українські компанії висловив Микола Коваль, гендиректор українського розробника рішень з інформаційної безпеки CyS Centrum. Він вважає, що атаки можуть бути проявом розборок в бізнес-колах. Українські олігархічні бізнеси цілком здатні воювати за сфери впливу за допомогою кібертехнологій.

Якщо є атака, то є і задум

У компанії Trend Micro припускають, що злочинці намагаються дестабілізувати ситуацію в Україні, використовуючи уразливості енергетичної та транспортної систем. Друга їх можлива мета – спробувати визначити найбільш слабкі місця в українських об'єкти критичної інфраструктури для подальшого наступу. Експерти в українських компаніях говорять, що сьогоднішні плани росіян з приводу кібератак на Україну зможуть реалізуватися не раніше 2017-го. Якщо атаки відбудуться в цьому році, то це буде означати, що вони були заплановані ще у 2015-му. Так що українській кіберполіції, куди активно йде рекрутинг людей, є чим займатися.

Важко придумати гірший сценарій кібератаки, ніж відключення елекроенергії, коментує Віктор Жора, директор української компанії Инфосейф ІТ, що спеціалізується на інформаційній безпеці. Це тягне за собою відключення комп'ютерних мереж, громадського транспорту, зв'язку, систем життєзабезпечення. «Вважаю, що роль кібератак в гібридних війнах ще вивчається», - говорить він.

Гірс з центру кібербезпеки НАТО припускає, що хакери могли вже проникнути в український простір національної безпеки і отримати доступ до секретних політичних рішень, планування військових операцій. В оцінці потенційних небезпек кібератак з ним згоден Коваль з CyS Centrum. «Виведення з ладу IT-об'єктів – дуже непогана "підтримка з повітря" при війнах. Якщо
говорити про кібер-шпигунство, то тут значущості в таких атаках ще більше», - відзначає він. І якщо приватні компанії ще якось готові до захисту, то держава готова значно гірше.

Експерти припускають, що хакерам може бути цікавим проникнення в різні державні реєстри – реєстру судових рішень, електронну систему призначення суддів. Цікава їм і Центральна виборча комісія, на чию роботу вони можуть вплинути, змінивши показники підрахунку голосів під час чергової кампанії.

Найуспішнішою кібератакою в історії вважається напад на ядерні об'єкти Ірану в 2009-2010 роках, коли були виведені з ладу близько 1.000 з 19.000 центрифуг зі збагачення урану. Атаку приписують американським спецслужбам, які використовували вірус Stuxnet. В атаці брали участь близько 20 осіб, які ідеально знали об'єкт – кожен контроллер, а контроллери для таких систем виготовляють за індивідуальним замовленням. Як і українські об'єкти критичної інфраструктури, іранські центрифуги керуються системою, яка не має підключення до інтернету. Так що зовнішнє проникнення нібито є неможливим. Однак хтось із співробітників вставив флешку в комп'ютер внутрішньої мережі, заразивши її. Не обов'язково мав місце підкуп – могла бути використана соціальна інженерія. Тому і Україні не варто бути надто спокійною з приводу того, що її енергосистеми керуються мережами, які не підключені до всесвітньої мережі.

Мінімально необхідний цех для кібератак складається з 5-6 чоловік, говорить Сич з Zillya! «Двоє-троє людей у відділі розробки, хакер-адміністратор для роботи з серверами, командир-ідеолог, фахівець з соціальної інженерії», - перераховує ролі експерт. Для розробки і організації однієї масштабної атаки потрібно до $30.000. В ідеалі потрібні гроші для купівлі вразливостей програмного забезпечення на ринку, професіонали високого рівня і багато часу.

Експерти НАТО під час підготовки звіту з кібербезпеки прийшли до думки, що кібератаки поки не стали повномасштабною альтернативою артилерії при веденні війни. Однак потенціал у них великий – від проникнення в державні системи до провокацій в соціальних мережах і медіа. Зрештою те, що в Україні в 2014-м 65 млн грн були викрадені хакерами з корпоративних рахунків, може здатися укусом комара.

Коментарі

1000

Правила коментування
Показати більше коментарів

Останні новини

ТОП-3 блога

Фото

ВІДЕО

Читайте на НВ style

Крупним планом ТОП-10

Погода
Погода в Киеве

влажность:

давление:

ветер: