Virus_Vova

Пов'язані з Росією хакери перетворили Україну на полігон для випробування кіберзброї, яку в подальшому Кремль готовий використовувати проти куди більш грізних опонентів — США і ЄС

Галина Корба, Іван Верстюк

В ранці 27 червня тисячі українських чиновників, десятки тисяч підприємців і сотні тисяч інших громадян приступили до своїх звичайних справ, ще не знаючи, що вже після обіду всі вони опиняться в ступорі. Держбюрократії не зможуть виконувати свої функції, бізнес-структури перестануть працювати і почнуть підраховувати збитки, а обивателі не отримають самих ординарних і звичних послуг: не зуміють зняти гроші в банку, розплатитися в магазині карткою або отримати доступ до власного електронного досьє в медичній клініці.

В той вівторок країна піддалася найпотужнішій кібератаці — сервера державних і корпоративних мереж паралізував вірус Petya.A. Його активність експерти відзначили в 64 країнах світу. Однак, за даними розробників словацького антивіруса ESET, більше 75% атак Petya.A припали на Україну.

Хакери торпедували діяльність енергогенеруючих і енергопостачальних компаній, об'єктів транспорту, ряду банківських установ, телекомунікаційних компаній. Вірус атакував і Кабінет міністрів.

Олександр Турчинов, секретар РНБО, вже назвав атаку "елементом гібридної війни проти України", а СБУ розповсюдила заяву, в якій замовником диверсії названі спецслужби РФ.

Кіберкатастрофа стала найпотужнішою за останні три роки таємницею цифрової війни, в центрі якої опинилася Україна після повалення режиму Віктора Януковича, окупації Росією Криму та початку бойових дій на Донбасі.

За даними вітчизняних і міжнародних аналітиків, починаючи з 2014-го країну тероризують хакерські угрупування росіян — КіберБеркут, SandWorm, APT29 і Царська команда. "Ви дійсно не зможете знайти місце в Україні, де не було нападу", — говорить Кеннет Гірс, спеціальний представник НАТО з кібербезпеки, якого цитує міжнародне видання Wired.

Експерти з США і НАТО все частіше звертають увагу на українські події. Роблять вони це не стільки з цікавості, скільки з міркувань безпеки: на Заході вважають, що російські структури відпрацьовують в Україні володіння кіберзброєю, наступною метою якого стануть Штати або європейські країни. І втручання російських хакерів в американські вибори лише підтверджує обґрунтованість подібних побоювань.

Олексій Ясинський, керівник вітчизняної компанії ISSP Labs, розробника рішень з інформаційної безпеки, також упевнений: Україна — це не стільки кінцева мета, скільки полігон. Мовляв, у хакерів під час їхніх численних атак на енергетичні та державні структури, була можливість домогтися дійсно руйнівних, необоротних наслідків. Але вони щоразу відступали, немов під час навчань.

Якщо ж відпрацьовані в Україні механізми хакери Кремля застосують в країнах Заходу, де рівень автоматизації набагато вищий, шкода була б істотно більшою, упевнений Ясинський. "У структурах, де зберігається механічне управління [як зараз в Україні], ризики набагато нижчі, — пояснює він. — Коли більшість процесів автоматизовано, кіберскладову можна розцінювати як високоефективну зброю".

Жертвами такої зброї, якщо її застосування призведе до техногенної катастрофи, можуть стати тисячі людей — і це стосується як України, так і США з Євросоюзом.

27 червня в компанії експрес-доставки Нова пошта — найбільшій приватній структурі в цій сфері в країні — обіцяв стати розслабленим днем напередодні держсвята, Дня Конституції. Так воно і було, поки о 14:00 департамент IT-безпеки не засік вірусну атаку в центральному офісі. В результаті тимчасово "ліг" сайт і всі електронні системи компанії, а відділенням довелося припинити обслуговування клієнтів.

І хоча основні системи вдалося запустити впродовж декількох годин, повністю компанія не відновилася навіть через тиждень. "Контакт-центр працює в обмеженому режимі", — говорять в прес-службі компанії, запевняючи, що Нова пошта посилено шукає способи щодо запобігання таких атак в майбутньому.

В той день десятки найбільших українських компаній і держустанов стали жертвами спланованого кібернаступу. Серед постраждалих опинилися міністерства і уряд, найбільші комерційні і державні банки, ЗМІ, промислові холдинги і навіть стратегічні підприємства на кшталт Укренерго, Київводоканалу та Укрзалізниці.

Шкода для всіх виявилася різною. Одні відбулися непрацюючим сайтом, інших атака повністю вивела з ладу. Зокрема, Ощадбанку довелося на п'ять днів перейти "на режим консультацій" і не проводити операцій. Всього в дні атаки українська кіберполіція зафіксувала понад 2 тис. скарг і відкрила більше 60 кримінальних проваджень.

Вірус Petya.A, який показав свою силу 27 червня, сам по собі досить простий, каже Юрій Марченко, гендиректор української компанії Накітель, що розробляє технологічні рішення для безпеки. Заражаючи окремі комп'ютери, а через них і цілі мережі, він, як і багато його "родичів", використовує уразливість операційних систем Windows, щоб зашифрувати файли і заблокувати доступ до них.

Фахівців насторожив механізм потрапляння вірусу до системи держустанов. За даними СБУ, зараження комп'ютерів шкідливими файлами сталося задовго до самої атаки. Хакери використовували оновлення бухгалтерського продукту M.E.Doc.

"Комплексність використання цих технологій, їх поєднання і унікальний для України спосіб проникнення в мережу організацій вперше привели до таких масштабних наслідків", — говорить Віктор Жора, директор української компанії Інфосейф ІТ. Атаці 27 червня, за його словами, не має аналогів за масовістю поширення і нанесеному збитку.

За дешифрацію файлів хакери вимагали від постраждалих викуп в $300, які слід було перерахувати в біткоіни. Але, за спостереженнями фахівців, вимагання служило лише прикриттям для справжніх мотивів. Організація атаки обійшлася зловмисникам приблизно в $20 тис., зібрати ж вони змогли вдвічі менше.

"А оскільки навіть сплачені постраждалими гроші не давали ключ розшифровки, найімовірніше це була політична акція", - говорить Жора.

У цьому не сумнівається Олег Сич, технічний директор українського виробника антивірусів Zillya!. Він вважає, що силою, яка атакувала українські мережі, стали росіяни. "Російські хакери цілком могли таким чином реагувати на заборону російських соцмереж і бухгалтерської програми 1С, - говорить він.— До того ж атака сталася напередодні Дня Конституції, а президент РФ любить знакові речі, щоб завдати максимального іміджевого удару по країні".

Для Сича очевидно, що дії зловмисників явно підстроювали під українські реалії. "Наші корпоративні мережі влаштовані так: є загальний адміністратор мережі з одним логіном і одним паролем, — пояснює експерт. — А атака якраз і була заточена на отримання доступу до прав адміна". Заразивши один комп'ютер, вірус міг нашкодити всій компанії.

"До організації цієї атаки причетні хакерські угрупування, які свого часу атакували українські енергетичні об'єкти, — заявив за підсумками розслідування кібератаки 27 червня глава СБУ Василь Грицак. — Справжній мотив, як ми розуміємо, — дестабілізація ситуації в нашій державі".

Представники українських силових структур розглядають вірус Petya.A як ще один елемент гібридної війни з Росією, що тягнеться вже четвертий рік.

Одним з перших гучних проявів дій хакерів стали удари по Центрвиборчкому під час позачергових президентських виборів 2014 року. Тоді зловмисники ненадовго "вивели" в лідери гонки кандидата від Правого сектора Дмитра Яроша, який насправді набрав всього 1% голосів виборців. Цей момент дозволив російському Першому каналу розтрубити на весь світ про страшних націоналістів, що рвуться до влади в Києві.

Операцію провернуло проросійське угруповання КіберБеркут. Далі воно, а також ще три схожі структури з російським корінням і зв'язками з Кремлем — SandWorm, APT29 і Царська команда - неодноразово втручалися в діяльність українських організацій. Причому, за словами Сича, росіянам цілком можуть надавати допомогу хакери самопроголошених "ДНР" і "ЛНР": в регіоні досить багато експертів в сфері кібербезпеки, які активно шукали роботу після початку військових дій.

Чим далі, тим агресивніше ставали кібератаки. За останні три роки Україна піддавалася таким нападам приблизно 7 тис. разів, стверджує міністр оборони Степан Полторак.

Наймасштабніші з них відбулися взимку 2015 року. Тоді хакери за допомогою вірусу BlackEnergy вивели з ладу відразу шість стратегічних енергокомпаній України, знеструмивши 103 населених пункти та будинки чверті мільйона українців. За даними вітчизняного Міненерго, цю атаку хакери готували понад півроку. Запустити системи вдалося лише в ручному режимі.

Через два місяці експерти міністерства внутрішньої безпеки США, які розслідували цю безпрецедентну навіть за світовими мірками подію, визнали: за тотальним збоєм в енергосистемі стояли саме хакери. Надалі Елізабет Шервуд-Рендал, заступник міністра енергетики США, прямо звинуватила в інциденті Росію.

Ще більш звузила коло підозрюваних американська компанія iSight Partners, що спеціалізується на питаннях кіберрозвідки. За її даними, за атакою стояли хакери російського угруповання SandWorm.

Для американців SandWorm — давні знайомі: саме ця група в 2013-2014 роках вела шпигунство в структурах НАТО, а також в США і країнах Заходу. Причому з використанням тієї ж технології, що і в Україні, — вірусу BlackEnergy.

SandWorm запустили BlackEnergy в мережах американських енергетичних і водних підприємств.

Причому коли аналітики американської компанії FireEye, що займається питаннями кібербезпеки,  аналізували шкідливу програму, то знайшли інструкції до вірусу, написані російською мовою.

П одібне пересічення — коли в Україні і на Заході діють одні і ті ж хакери — змусили багатьох світових експертів говорити про те, що відбувається на берегах Дніпра — лише прелюдія до чогось більшого.

"Росія використовує Україну як полігон, лабораторію для поліпшення нових способів ведення глобальної онлайн-війни, — вважає експерт Енді Грінберг. — І цифрові бомби, які Росія неодноразово встановлювала в Україні, — ті ж, що встановлювалися як мінімум один раз в цивільній інфраструктурі США".

Так, після атаки на український ЦВК в 2014-му КіберБеркут перекинув свої зусилля через океан і засвітився під час президентських виборів в США в 2016-м. За підсумками розслідування американських спецслужб виявилося, що хакери з Росії отримали доступ до систем виборчкомів більшості штатів. Крім того, напередодні виборів кіберзлочинці, яких в США пов'язують з Москвою, атакували передвиборний штаб кандидата в президенти США Хілларі Клінтон.

І такі дії можуть виявитися лише квіточками. У кібероперацій великий потенціал, адже нанести удар по інформаційній безпеці простіше, ніж починати справжню кровопролитну війну, вважають в НАТО. "Операції з комп'ютерними мережами можуть бути дуже різними і використовуватися для політичних цілей, — говорить Кеннет Гірс, представник Північноатлантичного альянса. — З метою розвідки, нанесення військової шкоди, реалізації терористичної або кримінальної загрози. Кібератаки складно передбачити, та й захищатися від них теж нелегко".

Хакерам цілком під силу вивести з ладу підприємства, що відповідають за постачання життєво важливих ресурсів. У тому числі заблокувати водо- і електропостачання військових частин і лікарень або ж перекрити канали зв'язку. "Найгірший потенційний сценарій — техногенна катастрофа", — резюмує Ясинський.

І на думку Роберта Лі, американського експерта з кібербезпеки, для хакерів російської SandWorm США можуть представити ще більш зручний набір цілей, ніж Україна. Енергетичні фірми США більш захищені з точки зору кібербезпеки, але вони також більш автоматизовані і сучасні, ніж в Україні. А значить, надають більше можливостей для атак. До того ж у американських інженерів менше досвіду з ручним відновленням роботи станцій через часті відключення.

З огляду на всі фактори, деякі міжнародні аналітики в сфері кібербезпеки приходять до висновку: активно діючи в Україні, Росія не тільки обкатує нові зразки зброї електронної війни, але ще і демонструє західним опонентам свої можливості. Це, мовляв, свого роду попередження для США і їхніх союзників: на будь-які ваші дії ми можемо відповісти раптовим і руйнівним онлайн-штурмом.

Кремль, схоже, готовий продовжувати гру на українському полігоні нескінченно довго: 5 липня, всього лише на восьмий день після попередньої кібератаки, російські хакери знову спробували паралізувати Україну. Про це повідомив Арсен Аваков, голова МВС, зазначивши, що агенти департаменту кіберполіції запобігли новому комп'ютерному армагеддону.

"Атака була зупинена, — заявив міністр. — Сервера вилучено разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російської Федерації".