Нужны кибервойска!

Украина начинает создание собственных кибервойск, а кибербезопасность является важным приоритетом государственной политики. Об этом заявил Президент Украины Владимир Зеленский во время своего недавнего ежегодного послания в Верховной Раде.

Кибератака на украинские правительственные сайты в ночь с 13 на 14 января — одна из самых масштабных за последние четыре года после кибератаки notPetya, ее причины и последствия сейчас активно исследуют государственные органы, журналисты и организации.

Центр стратегических коммуникаций и безопасности считает, что кибератака может быть российским вмешательством. По мнению специалистов Центра, такие действия могли спровоцировать переговоры о будущем сотрудничестве Украины с НАТО. На это указывает хронология распространения новости.

Сначала информация появилась в соцсетях. Впоследствии ее начали публиковать российские и пророссийские издания: 04:04 — «Бойтесь»: хакеры взломали сайт Министерства образования Украины (alternatio.org); 04:14 — «Бойтесь»: на сайте украинского министерства появились угрозы жителям (ria.ru); 05:00 — «Хакеры взломали сайт Министерства образования Украины» (echo.msk.ru); 05:03 — «Ждите худшего»: Хакеры взломали сайты украинских министерств и разместили там угрозы» (life.ru).

Утром о новости начали писать и украинские медиа.

Заместитель секретаря Совета национальной безопасности и обороны Украины Сергей Демедюк рассказал, что к масштабной кибератаке на государственные сайты Украины может быть причастна хакерская группировка, связанная с белорусской разведкой.

«Предварительно мы считаем, что к этой атаке может быть причастна группировка UNC1151», — цитируют заместителя секретаря СНБО журналисты Reuters. Группировка UNC1151 осуществляла атаки не только против Украины, но и против Литвы, Латвии, Польши и ранее распространяла нарративы, осуждающие присутствие НАТО в Европе.

«Группировка специализируется на кибершпионаже, что связано с российскими спецслужбами (Службой внешней разведки РФ), и прибегает к вербовке или тайной работе своих инсайдеров в нужной компании», — отметил Сергей Демедюк.

В Государственной службе специальной связи и защиты информации Украины заявили, что выводы можно будет сделать только после расследования.

«Я никого не обвинял и ни разу не назвал страну, которую вы упомянули», — сказал заместитель председателя Госспецсвязи Виктор Жора в ответ на вопросы журналистов, не стоит ли за кибератаками Россия. По его словам, любые выводы о причастности той или иной стороны к кибератакам могут быть сделаны после полномасштабного расследования инцидента.

«Как только у нас будут безоговорочные цифровые доказательства и понимание случившегося, мы будем готовы выйти с соответствующим заявлением. Пока расследование продолжается, поэтому никаких конкретных обвинений я и мои коллеги не могут предъявлять», — сказал Виктор Жора.

ВОЗМОЖНЫЕ ПРИЧИНЫ АТАКИ

Министр цифровой трансформации Украины Михаил Федоров заявил, что кибератака на сайты органов государственной власти Украины в ночь с 13 на 14 января преследовала цель получения доступа к административным правам компании, занимающейся этими сайтами. Чиновник назвал событие «явной активизацией киберфронта».

Центр стратегических коммуникаций и безопасности принципов предполагает, что массовая атака может быть частью психологической атаки России на украинцев.

Как поясняют dev.ua, 15 января корпорация Microsoft сообщила, что атака, которую назвали DEV-0586, не имеет связи с известными активностями хакеров, то есть это совершенно новый инструмент.

Согласно Microsoft, вредоносное программное обеспечение выглядит как приложение, но не является им на самом деле. Оно оставляет жертве сообщения с требованием перечислить на биткоин-кошелек $10 000 для разблокировки. Параллельно специалисты пишут, что вирус не включает в себя механизм разблокировки. Если госведомство переведет деньги на указанный счет, ничего не произойдет.

Кроме того, вредоносная программа «перетирает» файловую систему жертвы, превращая ее файлы в «мусор».

«Таким образом, Украина имеет дело с очень серьезной атакой, последствия которой еще не понятны до конца. И очевидно, что на следующей неделе мы узнаем гораздо больше новостей, что еще сломано», — пишет издание.

15 января заместитель секретаря Совета национальной безопасности и обороны (СНБО) Сергей Демедюк рассказал, что за атакой могла стоять группа UNC1151, действия которой были «лишь прикрытием для более разрушительных действий, которые происходили за кулисами», и «последствия которых Украина почувствует в ближайшее время».

До этого эксперты предполагали, что кибератака базировалась на простейшей уязвимости в CMS (Content Management System). Это система управления контентом на сайте, которая называется OctoberCMS. О ней было известно с мая. Госведомства не провели своевременного обновления, чем и воспользовались хакеры, совершив дефейс-атаку. Во время такого взлома страницу сайта заменяют другой, на которой размещают рекламу, предупреждение, угрозу и прочее. Такой тип кибератаки «создает суету, ущерб репутации, но не особо вредит данным в сетевых ресурсах».

В частности, киберэксперт Никита Кныш писал, что атака базировалась на простейшей уязвимости в CMS (Content Management System) OctoberCMS. По его словам, о ней было известно с мая.

Все эти учреждения заранее знали об уязвимости и имели время на исправление с мая. Это все, что нужно знать о реальной работе украинских «киберцентров». Это ответ на вопрос журналистов о том, действительно ли они сбили там миллионы нападений в месяц, как героически рассказывается в своих репортажах? Для тех, кому трудно попасть, оставлю только суть: не удали одну, простейшую на основе уязвимости CMS, о которой было известно еще с мая, а остальное — полная профанация в лучшем случае, или тотальная халатность — в худшем».

Украинский центр реагирования на киберугрозы опубликовал инструкцию, как госсайтам быстро устранить последствия OctoberCMS.

Сайты украинского правительства разрабатывала киевская частная IT-компания Kitsoft (ООО «Компьютерные информационные технологии»), специализирующаяся на создании IT-продуктов для государственных органов и бизнеса. Как пишет «Экономическая правда», вероятнее всего, через эту компанию и была совершена централизованная кибератака.

Сайты ведомств быстро восстановились благодаря резервным копиям.

«Ресурсы (государственные учреждения — ред.) были изолированы (они стали недоступны извне), а через некоторое время заработали в прежнем режиме, что говорит о наличии невредимых бекапов», — сказал председатель наблюдательного совета Octava Capital Александр Кардаков.

ПОСЛЕДСТВИЯ

В общей сложности хакеры взломали почти 70 ресурсов, среди которых: сайт «Дия», сайты Государственной службы чрезвычайных ситуаций, Министерства иностранных дел, Министерства здравоохранения, Минобразования, Министерства молодежи и спорта, Минэнерго, Минагрополитики, Кабинета Министров, Государственной казначейской службы и других органов.

Атаковали и сайт Нацбанка, однако, как утверждают в регуляторе, все попытки удалось нейтрализовать.

В Госспецсвязи и Министерстве цифровой информации сообщили, что утечки данных украинцев не было.

По словам министра цифровой трансформации Украины Михаила Федорова, 10 из 70 атакованных сайтов государственных органов подверглись вторжению, но их контент не был изменен, утечки персональных данных также не было «и не могло быть — это не реестры».

«Сайты органов государственной власти не хранят напрямую персональные данные, а реестры во время этой атаки не пострадали. Мы можем говорить, что их утечки не произошло», — сказал «Общественному» Юрий Щиголь, глава Госспецсвязи.

До сих пор не открывается стартовая портала diia.gov.ua — зато идет переадресация на каталог услуг. Как написал соучредитель monobank Олег Гороховский в своем Telegram-канале, ходят слухи, что база Моторного (транспортного) страхового бюро Украины уничтожена хакерами, сообщает dev.ua.

Служба безопасности Украины поделилась рекомендациями по устранению уязвимости к кибератакам.

ПОМОЩЬ

Европейский Союз готов поддержать усиление устойчивости Украины, в том числе против гибридных и киберугроз. Об этом говорится в черновике выводов встречи Совета министров иностранных дел блока по ситуации с безопасностью, которая имеется в распоряжении редакции Радио Свобода.

«ЕС подтверждает свою приверженность дальнейшей поддержке устойчивости Украины, в том числе в противодействии кибер— и гибридным угрозам и опровержению дезинформации. Совет подчеркивает о важности реформ на украинской повестке дня как способа усилить внешнюю и внутреннюю выносливость Украины и подтверждает проверенную временем и прочную поддержку ЕС в этом направлении», — говорится в документе.

Согласно ему, дипломаты ЕС также осуждают длительную российскую агрессию против Украины и призывают Москву к деэскалации ситуации, выполнению требований международного права и переговоров.

«Диалог в соответствии с ключевыми принципами, лежащими в основе архитектуры безопасности Европы, является путем улучшить ситуацию с безопасностью и защитить мир и стабильность на нашем континенте. Упоминаниям о «сферах влияния» нет места в 21 веке», — утверждают министры иностранных дел.

Совет также снова выражает поддержку суверенитету Украины и всех восточных соседей ЕС и отмечает о важности полного выполнения Минских соглашений. Дипломаты выразили поддержку «усилиям Франции и Германии в рамках нормандского формата, подчеркивая ответственность России как стороны конфликта». Документ указывает на «ценное участие Мониторинговой миссии ОБСЕ, которой должен быть предоставлен неограниченный доступ по всей территории Украины».

Блок также указывает на то, что принципы уважения суверенитета стран и неприкосновенности границ, очерченные в Хартии ООН, учредительных документах ОБСЕ, Парижской хартии и Хельсинкских соглашениях, не подлежат обсуждению или пересмотру, а их нарушение Россией «угрожает миру и стабильности на континенте».

Совет предлагает Боррелю и далее координировать позицию ЕС в сотрудничестве с Соединенными Штатами и странами НАТО, оставаясь также вовлеченным в работу ОБСЕ.

«Государства-члены готовы участвовать в усилении механизмов обеспечения прозрачности и предсказуемости военной активности, в частности, в рамках ОБСЕ. Совет призывает Россию к конструктивному участию в этом вопросе. ЕС также будет поддерживать возобновление работы по разоружению и контролю над вооружениями», — говорится в черновике.

При этом Совет также отмечает о важности усиления устойчивости всего ЕС и его партнеров против гибридных и кибератак, информационных манипуляций из-за границы, в том числе дезинформации и призывает высокого представителя и Еврокомиссию «усилить работу в этом направлении».