З відкритих джерел
Україна - полігон для хакерів, писав не так давно американський портал BuzzFeed News. У тій же статті автор міркував, як Росія пише нові правила кібервійни. Не секрет, що в США, так і в Україні практично всі великі хакерські атаки приписують росіянам. Сьогодні на Україну була здійснена найбільша хакерська атака в історії країни - вірус-вимагач вразив десятки держустанов, банків, системи аеропортів, енергокомпаній, залізниці та ін. 112.ua зібрав ТОП-5 хакерських атак на Україну за останні роки
Petya захопив усіх
Україну 27 червня вразив вірус-вимагач . Тисячі комп'ютерів по всій країні заражені, постраждали великі компанії і приватні особи. Фахівці кажуть, що вірус-ransomware (який на моніторі іменує себе Petya) - це модифікований аналог інших вірусів-вимагачів (наприклад, відомого вірусу WannaCry, який став активно поширюватися по всьому світу 12 травня 2017 року). Спершу він вразив мережу закладів охорони здоров'я Великобританії, а потім перекинувся на організації в інших країнах, включаючи Україну.
Судячи з скриншотам екранів уражених комп'ютерів, вірус блокує доступ до файлів на комп'ютері, шифрує їх і вимагає викуп у розмірі 300 дол. На адресу Bitcoin-гаманця за їх розшифровку. Так само чинив і WannaCry, який, згідно з підрахунками, завдав збитків більш ніж на 1 млрд дол., Хоча і приніс творцям всього лише 120 тис. Дол.
Вірус працює тільки в операційній системі Windows. ІТ-експерти пояснюють, що автори підступного коду WannaCry використовували вразливість операційної системи Microsoft. Цю інформацію підтвердив і президент Microsoft Бред Сміт. Мінімальна тривалість часу між виявленням уразливого комп'ютера і повним його зараженням становить близько 3 хвилин.
Новини по темі
Новини по темі
В результаті постраждали системи близько 30 банків, "Укрзалізниці", аеропорту "Бориспіль", Укрпошти, Київського метрополітену, "Епіцентру", "Нової пошти", ДТЕК, "Укренерго" і навіть самого Кабміну.
Згідно з повідомленням НБУ, уражені банки зазнають труднощів з обслуговуванням клієнтів і здійсненням банківських операцій. В "Укртелекомі" запевняють, що компанія продовжує надавати послуги доступу в інтернет і телефонії, а ось комп'ютерні системи, які супроводжують колл-центру та центрів обслуговування абонентів, не працюють. Аеропорт "Бориспіль" попереджає, що "у зв'язку з позаштатної ситуацією можливі затримки рейсів". Київський метрополітен заявляє, що в результаті атаки була заблокована функція оплати банківськими картками. У "Нової пошти" відділення і контакт-центр тимчасово не можуть обслуговувати клієнтів. Через технічні збої на невизначений термін призупинено роботу інформаційних систем Львівської міської ради, призупинено документообіг і робота центрів надання адміністративних послуг міста Львова. У Кабміні відключили комп'ютери.
Українську артилерію на Донбасі в 2014 році знищували хакери
У грудні цього року аналітики CrowdStrike (американської компанії, що спеціалізується на кібербезпеки) випустили доповідь, в якому розповіли, як широко застосовується в ЗСУ додаток для операційної системи Android, розроблене офіцером української артилерії з метою спрощення розрахунків при веденні вогню, могло бути використано російським урядом як засіб отримання розвідданих (Наприклад, про місцезнаходження українських урядових сил).
У 2014 році Fancy Bear створила для скачування шкідливий варіант програми та розмістила його на українських військових форумах. У CrowdStrike виявили, що варіант шкідливої програми Fancy Bear застосовувався для злому Android-додатки, розробленого, щоб допомогти артилерійським військам більш ефективно наводити свої застарілі гаубиці на цілі. Як правило, для наведення українських буксируваних гаубиць Д-30 часів радянської епохи необхідно кілька хвилин, дані для наведення вводяться вручну. З Android-додатком це займало 15 секунд, виявили в CrowdStrike. Команда Fancy Bear, очевидно, зламала додаток, дозволивши ГРУ використовувати GPS-координати телефонів для відстеження позицій українських військ. Таким чином, російська армія могла наводити на українських військових артилерію та іншу зброю. Українські підрозділи, задіяні на сході України, перебували на передовій конфлікту з підтримуваними Росією сепаратистськими силами на його ранніх стадіях в кінці 2014 року, відзначили в CrowdStrike.
До кінця 2014 року число російських військ в регіоні досягло приблизно 10 тисяч. Android-додаток допомагало російським військам визначати позиції української артилерії. За даними Міжнародного інституту стратегічних досліджень, за два роки конфлікту українські артилерійські війська втратили понад 50% своєї зброї і більше 80% своїх гаубиць Д-30, і це найвищий відсоток втрат артилерійської зброї в арсеналі, йдеться в доповіді. Додаток не було доступно в Android-магазині і поширювалося тільки через сторінку його розробника в соціальній мережі, українського офіцера-артилериста Ярослава Шерстюка, кажуть в CrowdStrike. Активація програми була можлива тільки після зв'язку з розробником і відправки коду для індивідуальної завантажити програму.
Новини по темі
Новини по темі
Співзасновник і провідний експерт з технологій CrowdStrike Дмитро Альперович підкреслює, що український приклад показовий для розуміння, наскільки сильна зв'язок між хакерами Fancy Bear і російськими військовими. "Для того щоб використовувати отримані в результаті злому дані на поле бою, потрібна тісна інтеграція, - каже Альперович. - Такі завдання знаходяться в компетенції ГРУ ... На нашу думку, це дуже переконливий доказ зв'язку цих двох (Fancy Bear і ГРУ) організацій ".
Відключили все Прикарпатті
Тим часом одна з найбільш значущих і небезпечних атак була здійснена в грудні 2015 року. Тоді хакерам вдалося відключити від електромережі окремий регіон - Прикарпатті, втрутившись в роботу "Прикарпаттяобленерго". Внаслідок цієї "роботи" понад 700 тис. Жителів регіону залишилися без електрики на кілька годин.
IT-система підприємства постраждала настільки сильно, що кожну з підстанцій довелося включати вручну. При цьому в "Прикарпаттяобленерго" причиною неполадок скромно назвали "втручанням сторонніх осіб в роботу телемеханіки - автоматичної системи контролю і управління обладнанням".
Однак, дослідивши цю ситуацію, міжнародні компанії та організації, такі як SANS ICS, ESET і Symantec, з'ясували, що електрика була відключена за допомогою хакерської атаки з використанням шкідливого вірусу Black Energy. За даними Symantec, за сімейством вірусів Black Energy стоїть угрупування Sandworm, яка орудує проти промислових об'єктів України, інших країн Європи і навіть проти НАТО.
Руткіт BlackEnergy, який відкрив доступ до внутрішньої мережі енергокомпаній, потрапив на комп'ютери за півроку до включення деструктивної функції.
Згідно із заявою Служби безпеки України (СБУ), дана хакерська атака була спробою російських спецслужб атакувати комп'ютерні мережі енергетичного комплексу України. Американська компанія iSight Partners, що спеціалізується на питаннях кіберрозвідку, стверджує, що Sandworm - це російська група хакерів, і саме вона причетна до безпрецедентного відключення електроенергії в Україні. Цей випадок зацікавив навіть Центральне розвідувальне управління, Агентство національної безпеки і Департамент внутрішньої безпеки США, які взялися його розслідувати.
Новини по темі
Новини по темі
Пізніше вірус Black Energy Держслужба спецзв'язку України виявила в мережі аеропорту "Бориспіль". "Фахівці Держслужби спецзв'язку запобігли можливу хакерську атаку з боку Росії. Вчора фахівці зв'язку виявили, що одна з робочих станцій в аеропорту" Бориспіль "була інфікована вірусом Black Energy. Інфікований комп'ютер був вилучений з комп'ютерної мережі аеропорту, а про інцидент були проінформовані експерти групи CERT UA ", - повідомив спікер адміністрації президента України з питань АТО Андрій Лисенко.
У 2015 році версія з російськими хакерами була ще не дуже популярною. Тим більше, що в наступних атаках влада звинувачувала вже свої хакерські групи.
Фінанси теж під загрозою
Пік хакерських атак припав на кінець 2016 року. 6 грудня хакери зламали мережі Держказначейства, Міністерства фінансів України та Пенсійного фонду. При вході на сайт служби відбувалася переадресація на ресурс www.whoismrrobot.com. "Ми запалили гніт революції. І тепер вирішуємо, пошкворчіт він і помре або по-справжньому запалиться. Наша справжня робота тільки починається". Це послання хакери розмістили на головній сторінці ресурсу. Відзначимо, що казначейська служба є центральним органом виконавчої влади, який реалізує державну політику у сфері казначейського обслуговування бюджетних коштів, бухгалтерського обліку виконання бюджетів.
В результаті атаки 7 грудня 2016 року проведення обов'язкових платежів на сотні мільйонів гривень Держказначейством і Пенсійним фондом були заблоковані. Платежі проходили із затримками або не проходили зовсім, не працювали сайти Мінфіну і Держказначейства.
Атака на сайти цих відомств була зупинена через два дні, 8 грудня. Згідно з повідомленням на офіційній сторінці Мінфіну в Facebook, Держказначейство відновило платежі, внутрішні мережі, і бази даних почали працювати в штатному режимі, вся інформація була збережена. При цьому в результаті атаки були пошкоджені сервери держструктур. У Міністерстві фінансів відзначили, що метою хакерів був зрив бюджетного процесу, реформи Мінфіну та підрив довіри до системи кібербезпеки уряду.
Новини по темі
Новини по темі
Потім співробітник держпідприємства "Національні інформаційні системи", яке займається супроводом держреєстрів, написав в Facebook, що "вірус, який поклав казну, носить назву killdisk". Це популярна програма, у якій багато різновидів. Вона доступна у вихідних кодах, тому зловмисники завжди можуть її модифікувати до невпізнання, щоб антивірусні програми цю програму не виявили.
Програма killdisk застосовувалася при атаках за допомогою BlackEnergy на енергокомпанії України. Експерти кажуть, що там була інша модифікація killdisk. Цей троян знищує інформацію методом перезапису, що унеможливлює її відновлення.
Кабмін після атаки виділив Мінфіну і Держказначейству 80 млн грн на захист від хакерів.
Чи не російські, свої злочинці
Вночі 14 грудня 2016 року у шість серверів Придніпровської залізниці (ПАТ "Укрзалізниця") була здійснена кібератака, а вранці 15 грудня була атакована система розподілу порожніх вантажних вагонів. "Видаємо паперові документи для машиністів. Всі питання безпеки руху контролюються. Працює радіо- і телеграфний зв'язок. Працює продаж квитків в касах", - повідомив глава "Укрзалізниці" Войцех Балчун. Він також зазначив, що існували проблеми з диспетчерської системою енергозабезпечення.
Топ-менеджмент УЗ в цій атаці не побачив сліду РФ, зате звинуватив своїх же, українських корупціонерів. На думку топ-менеджера, хакерська атака - це "різка реакція діючої корупційної системи на держпідприємстві". Балчун заявив, що тиск і погрози на адресу членів його команди пов'язані з запуском автоматизованої системи розподілу порожніх вантажних вагонів, запуск якої був запланований на 28 грудня. Втім, міністр інфраструктури Володимир Омелян заявив, що "Укрзалізницю" атакували українські хакерські групи на замовлення "невстановленої особи з Санкт-Петербурга", що це був відволікаючий маневр, щоб в той час вкрасти дані пасажирських перевезень. За словами Омеляна, атаки на Мінфін і Держказначейство були здійснені аналогічним чином. Відзначимо, що атака на сайт самого Міністерства інфраструктури відбулася 16 грудня.
Чому пропускаємо удари?
Незважаючи на те що активно атакувати Україну хакери почали ще в 2015 році, українські держоргани виявилися абсолютно неготовими до нових витків кіберзагроз. Експерти запевняють, що в зв'язку з розвитком технологій хакерські атаки будуть тільки посилюватися, а за нинішньої ситуації із застарілим обладнанням в держорганах здійснювати атаки не складає великих труднощів.
"До останнього часу державні органи мало приділяли уваги питанням кібербезпеки. Зараз це питання починають піднімати на рівні держави", - зазначає він, додавши, що однією з причин уразливості держорганів також є відсутність кваліфікованих фахівців в питаннях кібербезпеки. Мабуть, технічні фахівці нарешті пояснили чиновникам, що їм недостатньо серверів для резервного копіювання, що існуюче обладнання слабке або застаріле ", - вважає директор компанії" Кріптософт "Геннадій Чепурда.
Новини по темі
Новини по темі
Не можна сказати, що хакерські атаки відбуваються тільки з держорганами. Це відбувається з усіма. Аж до того, що жертвою кібертеррора може стати домашній користувач, який взагалі ні про що не підозрює. Щоб приховати сліди своєї діяльності, зловмисники використовують каскад комп'ютерів жертв для того, щоб переадресовувати сигнал (шкідливої вірус) і тим самим ховатися, щоб його не могли знайти. Сьогоднішня атака зачепила не тільки великі компанії, а й звичайних людей.
Тому кібербезпека стосується не тільки звичайної людини, держорганів або приватної компанії. Це стосується всіх учасників, які знаходяться в мережі інтернет, говорять експерти.
Відзначимо, що законопроект про кібербезпеки прийнятий Верховною Радою тільки в першому читанні. А спеціальний координаційний центр, який заробив минулого літа, так і не показав своєї ефективності. Викликає питання і ефективність держструктур, що відповідають за кібербезпека держкомпаній.
Чому пропускаємо удари?