Российские хакеры продолжают атаковать. Готова ли Украина защищаться и чем может закончиться...

Российские хакеры продолжают атаковать. Готова ли Украина защищаться и чем может закончиться кибервойна

Киберпреступники вслед за энергетическими компаниями атаковали аэропорт Борисполь и Укрзализныцю. В НАТО предполагают, что они также могли получить доступ к военным тайнам украинского правительства.

«Прихлопнуть страну при помощи кибератаки очень сложно, но не невозможно», — как-то сказал Тоомас Хендрик Ильвес, президент Эстонии. Украине предстоит удостовериться в этом. В декабре три региональных производителя электроэнергии стали объектомбеспрецедентной кибератаки при помощи троянской программы BlackEnergy. Тогда все закончилось временным отключением электричества у 220.000 потребителей. Эксперты уверены, что все только начинается.

Министерство энергетики по результатам исследования декабрьской атаки пришло к мнению, что за ней стоят российские хакеры. Такое же заключение высказала Элизабет Шервуд-Рендалл, заместитель министра энергетики США.

Атаки не были слишком сложными технологически, но радоваться не стоит. Хакеры-профессионалы используют ровно тот уровень технологий, который необходим для достижения цели. «Ведь нет смысла покупать Ferrari, чтобы возить детей в школу», — говорит в разговоре с НВ эксперт центра кибербезопасности НАТО Кеннет Гирс

Но тремя облэнерго – Киевоблэнерго, Прикарпатьеоблэнерго и Черновцыоблэнерго – дело не закончилось. Еще раньше были атакованы телеканалы 1+1 и СТБ, затем – аэропорт Борисполь и несколько энергокомпаний. После этого последовала атака на Укрзализныцю. Производитель решений в сфере информационной безопасности Trend Micro, чей центральный офис находится в Токио, заявил о еще одной атаке на крупную украинскую добывающую компанию, не называя ее имени. Жертвы кибератак крайне неохотно говорят об этих фактах, всячески желая их замолчать.

Однако и это не исчерпывающий список жертв. Олег Сыч, технический директор украинского производителя антивирусов Zillya!, утверждает, что BlackEnergy найден в нескольких системах во Львове и Мариуполе, а потенциально контролируемые злоумышленниками системы могут располагаться по всей стране, ожидая удобного момента для атаки.

Черная метка BlackEnergy

BlackEnergy присутствует на теневом рынке хакерского оружия уже не первый год. На сегодня существует около 400 его модификаций. Более старые версии можно найти в бесплатном доступе, более новые стоят денег. Ключевая характеристика BlackEnergy в том, что он может выступать «ракетоносцем», неся в себе вредоносные плагины, способные разрушать системы автоматического управления и делать много других опасных вещей. Обычно кто-то из сотрудников компании, ставшей жертвой атаки, получает письмо с файлом, который требуется открыть. Само письмо замаскировано под рабочую документацию. С открытием файла в систему попадает вирус.

О заражении вирусом BlackEnergy украинских облэнерго знали еще в октябре 2015-го, но не смогли предотвратить декабрьскую атаку. Эксперты отмечают, что если атакующей программе на момент атаки уже несколько месяцев, это означает одно – атакующие не ожидали никакого отпора. Обычно эффективный срок жизни вирусной программы – 2-4 дня, после чего на рынке появляется антивирусное решение против нее. Хотя, с другой стороны, хакеры всегда тестируют свои продукты на новейших антивирусах, чтобы выпускать качественные вирусы, которые невозможно выловить.

Особенно любят BlackEnergy российские хакеры, которых считают ключевым источником киберугроз в Восточной Европе. Эта троянская программа проста в использовании, к тому же российские хакеры как правило не располагают бюджетами для более технологичных атак. «Крутые хакеры для получения административного доступа к сети покупают на черном рынке уязвимости операционных систем, которые стоят $20.000-50.000, — рассказывает Сыч из Zillya! – Поскольку у россиян таких денег нет, они используют методы социальной инженерии, это их почерк».

Методы социальной инженерии позволяют выстроить алгоритм возможных действий нужного сотрудника. Это проще, чем выходить с ним на связь и пытаться подкупить.

Так, чтобы узнать административный пароль, россияне скорее отправят «троян» с кейлоггером – программой, которая записывает все нажатые клавиши. Чтобы спровоцировать администратора ввести пароль, вирус забивает жесткий диск до отказа, в итоге появляется требование системы очистить его. Для этого нужно ввести пароль. После этого приходит администратор и вводит пароль, а кейлоггер его записывает и передает злоумышленникам. «Наш вирусный аналитик ковырял код вируса, который атаковал украинские правительственные сайты, — продолжает Сыч. – Он сказал тогда: да его ламеры какие-то писали!».

Российский привкус хакерских атак

О том, что за атакой на украинские объекты стоят россияне, говорят и другие факты – IP-адреса атакующих компьютеров, российские номера телефонов при попытке перегрузить колл-центр, типичные для россиян ошибки при составлении писем на украинском языке, время атаки, совпадающее с часовым поясом Москвы и Санкт-Петербурга. Источник в украинской IT-компании, привлеченный к расследованию СБУ, говорит, что у ведомства собрано много информации, доказывающей причастность россиян.

«Важно учитывать два фактора при определении того, кто стоит за атаками — возможности и мотивация, — отмечает Надежда Костюк, докторант факультета политологии Мичиганского унвиерситета. — Россия, конечно же, подходит по этим двум критериям».

Россиянам вполне могли помогать хакеры из ДНР и ЛНР. В этом регионе сконцентрировано много специалистов по кибербезопасности. С началом военного конфликта на Донбассе уже упомянутая киевская антивирусная компания Zillya! столкнулась с огромным потоком ищущих работу людей, неплохо разбирающихся в теме информационной безопасности. Все они – выходцы из Донбасса.

Платит хакерам, скорее всего, российское правительство, предполагает технический директор компании Сыч. Частным компаниям нет смысла оплачивать подобные атаки, поскольку они не приносят прибыли. Мотивация в этом случае политическая. Это еще одна причина, почему в атаке не участвуют лучшие российские специалисты – им интересна прибыль, а не политические аргументы.

Наиболее известны три хакерские группировки, которые ассоциируют с Россией. Это – APT29, Царская команда и КиберБеркут. КиберБеркут уже атаковал Украину в прошлом – на его счету проникновение в систему Центральной избирательной комиссии в мае 2014-го. На стороне российских интересов иногда действует команда Anonymous Ukraine, которая нападает на украинские объекты и выступает за полную независимость страны как от России, так и от Запада.

Знают вкус хакерских атак и Администрация президента, и Кабинет министров. Российские хакеры не впервые атакуют другие страны – в 2007-м они атаковали Эстонию и в 2008-м Грузию. Обе страны совершали свои попытки вырваться из российской политической орбиты.

Эксперты отдела НАТО по кибербезопасности отмечают, что особый риск для Украины несет приверженность жителей страны к использованию российских социальных сетей ВКонтакте и Одноклассники, российского почтового сервиса Mail.ru, российского поисковика Yandex и российской антивирусной продукции Kaspersky. Спецслужбы России вполне могут использовать эти продукты для действий, направленных против Украины.

Еще одну версию возможного источника кибератак на украинские компании высказал Николай Коваль, гендиректор украинского разработчика решений по информационной безопасности CyS Centrum. Он считает, что атаки могут быть проявлением разборок в бизнес-кругах. Украинские олигархические бизнесы вполне способны воевать за сферы влияния при помощи кибертехнологий.

Если есть атака, то есть и замысел

В компании Trend Micro предполагают, что атакующие пытаются дестабилизировать ситуацию в Украине, используя уязвимости энергетической и транспортной систем. Вторая их возможная цель – попытаться определить самые слабые места в украинских объектах критической инфраструктуры для последующего наступления. Эксперты в украинских компаниях говорят, что сегодняшние планы россиян по поводу кибератак на Украину смогут реализоваться не ранее 2017-го. Если атаки произойдут в нынешнем году, то это будет означать, что они были запланированы еще в 2015-м. Так что украинской киберполиции, куда активно идет рекрутинг людей, есть чем заниматься.

Сложно придумать худший сценарий кибератаки, чем отключение элекроэнергии, комментирует Виктор Жора, директор украинской компании Инфосейф ИТ, специализирующейся на информационной безопасности. Это влечет за собой отключение компьютерных сетей, общественного транспорта, связи, систем жизнеобеспечения. «Полагаю, что роль кибератак в гибридных войнах еще изучается», — говорит он.

Гирс из центра кибербезопасности НАТО предполагает, что хакеры могли уже проникнуть в украинское пространство национальной безопасности и получить доступ к секретным политическим решениям, планированию военных операций. В оценке потенциальных опасностей кибератак с ним согласен Коваль из CyS Centrum. «Выведение из строя IT-объектов – очень неплохая «поддержка с воздуха» при войнах. Если
говорить про кибер-шпионаж, то тут значимости в таких атаках еще больше», — отмечает он. И если частные компании еще как-то готовы к защите, то государство готово значительно хуже.

Эксперты предполагают, что хакерам может быть интересно проникновение во всевозможные государственные реестры – реестр судебных решений, электронную систему назначения судей. Интересна им и Центральная избирательная комиссия, на чью работу они могут повлиять, изменив показатели подсчета голосов во время очередной кампании.

Самой успешной кибератакой в истории считается нападение на ядерные объекты Ирана в 2009-2010 годах, когда были выведены из строя около 1.000 из 19.000 центрифуг по обогащению урана. Атаку приписывают американским спецслужбам, которые использовали вирус Stuxnet. В атаке участвовали около 20 человек, которые идеально знали объект – каждый контроллер, а контроллеры для подобных систем производятся по индивидуальному заказу. Как и украинские объекты критической инфраструктуры, иранские центрифуги управляются системой, которая не имеет подключения к интернету. Так что внешнее проникновение якобы невозможно. Однако кто-то из сотрудников вставил флешку в компьютер внутренней сети, заразив ее. Не обязательно имел место подкуп – могла быть использована социальная инженерия. Поэтому и Украине не стоит быть слишком спокойной по поводу того, что ее энергосистемы управляются сетями, которые не подключены к всемирной сети.

Минимально необходимый цех для кибератак состоит из 5-6 человек, говорит Сыч из Zillya! «Два-три человека в отделе разработки, хакер-администратор для работы с серверами, командир-идеолог, специалист по социальной инженерии», — перечисляет роли эксперт. Для разработки и организации одной масштабной атаки потребуется до $30.000. В идеале нужны деньги для покупки уязвимостей программного обеспечения на рынке, профессионалы высокого уровня и много времени.

Эксперты НАТО при подготовке отчета по кибербезопасности пришли к мнению, что кибератаки пока не стали полномасштабной альтернативой артиллерии при ведении войны. Однако потенциал у них большой – от проникновения в государственные системы до провокаций в социальных сетях и медиа. То, что в Украине в 2014-м 65 млн грн были украдены хакерами с корпоративных счетов, может показаться укусом комара. Кто знает, к чему может привести подмена цифр в системе Государственной службы статистики при подсчете объема ВВП или на жестких дисках Министерства финансов, которое очень легко при помощи хакеров может «забыть» про очередную выплату по госдолгу и дождаться дефолта.

автор: Иван Верстюк, источник: Новое время



загрузка...

Читайте також

Коментарі