Україна починає створення власних кібервійськ, а кібербезпека є важливим пріоритетом державної політики. На цьому наголосив Президент України Володимир Зеленський під час свого нещодавнього щорічного послання у Верховній Раді.
Кібератака на українські урядові сайти у ніч з 13 на 14 січня — одна із наймасштабніших за останні чотири роки після кібератаки notPetya, її причини та наслідки зараз активно досліджують державні органи, журналісти і громадські організації.
Центр стратегічних комунікацій та інформаційної безпеки вважає, що кібератака може бути російським втручанням. На думку фахівців Центру, такі дії могли спровокувати перемовини щодо майбутньої співпраці України з НАТО. На це вказує хронологія поширення новини.
Спочатку інформація з’явилася в соцмережах. Невдовзі її почали публікувати російські та проросійські видання: 04:04 — «Бойтесь: хакеры взломали сайт Министерства образования Украины» (alternatio.org); 04:14 — «Бойтесь: на сайте украинского министерства появились угрозы жителям» (ria.ru); 05:00 — «Хакеры взломали сайт министерства образования Украины» (echo.msk.ru); 05:03 — «Ждите худшего: хакеры взломали сайты украинских министерств и разместили там угрозы» (life.ru).
Вранці про новину почали писати й українські медіа.
Заступник секретаря Ради національної безпеки та оборони України Сергій ДЕМЕДЮК розповів, що до масштабної кібератаки на державні сайти України може бути причетне хакерське угруповання, пов’язане з білоруською розвідкою.
«Попередньо ми вважаємо, що до цієї атаки може бути причетне угруповання UNC1151», — цитують заступника секретаря РНБО журналісти Reuters. Угруповання UNC1151 здійснювало атаки не лише проти України, а й проти Литви, Латвії, Польщі, і раніше поширювало наративи, які засуджують присутність НАТО в Європі.
«Угруповання спеціалізується на кібершпигунстві, що пов’язано з російськими спецслужбами (Службою зовнішньої розвідки РФ), і вдається до вербування або таємної роботи своїх інсайдерів у потрібній компанії», — зазначив Сергій Демедюк.
У Державній службі спеціального зв’язку та захисту інформації України заявили, що висновки можна буде зробити лише після розсідування.
«Я нікого не обвинувачував і жодного разу не назвав країну, яку ви згадали», — сказав заступник голови Держспецзв’язку Віктор ЖОРА у відповідь на запитання журналістів, чи не стоїть за кібератаками Росія. За його словами, будь-які висновки про причетність тієї чи іншої сторони до кібератак можуть бути зроблені після повномасштабного розслідування інциденту.
«Як тільки у нас будуть беззаперечні цифрові докази і розуміння того, що сталося, ми будемо готові виступити з відповідною заявою. Поки що розслідування триває, тому жодних конкретних звинувачень я і мої колеги не можуть висувати», — сказав Віктор Жора.
МОЖЛИВІ ПРИЧИНИ АТАКИ
Міністр цифрової трансформації України Михайло ФЕДОРОВ заявив, що кібератака на сайти органів державної влади України в ніч з 13 на 14 січня мала на меті отримання доступу до адміністративних прав компанії, яка займається цими сайтами. Урядовець назвав подію «явною активізацією кіберфронту».
Центр стратегічних комунікацій та інформаційної безпеки висловив припущення, що масова атака може бути частиною психологічної атаки Росії на українців.
Як пояснюють dev.ua, 15 січня корпорація Microsoft повідомила, що атака, яку назвали DEV-0586, не має зв’язку з відомими активностями хакерів, тобто це абсолютно новий інструмент.
Як зазначили в Microsoft, шкідливе програмне забезпечення виглядає як програма-вимагач, але не є нею насправді. Воно залишає жертві повідомлення з вимогою перерахувати на біткоїн-гаманець $10 000 для розблокування. Паралельно фахівці пишуть, що вірус не містить у собі механізму розблокування. Якщо держвідомство переведе гроші на вказаний рахунок, нічого не станеться.
Крім того, шкідлива програма «перетирає» файлову систему жертви, перетворюючи її файли на «сміття».
«Таким чином, Україна має справу з дуже серйозною атакою, наслідки якої ще не зрозумілі до кінця. І очевидно, що наступного тижня ми дізнаємося набагато більше новин — що ще зламано», — пише видання.
15 січня заступник секретаря Ради національної безпеки і оборони (РНБО) Сергій Демедюк розповів, що за атакою могла стояти група UNC1151, дії якої були «лише прикриттям для більш руйнівних дій, які відбувалися за лаштунками і наслідки яких Україна відчує найближчим часом».
До цього експерти припускали, що кібератака базувалася на найпростішій уразливості в CMS (Content Management System). Це система управління контентом на сайті, яка називається OctoberCMS. Про неї було відомо ще з травня. Держвідомства не провели своєчасного оновлення, чим і скористалися хакери, зробивши дефейс-атаку. Під час такого злому сторінку сайта замінюють на іншу, на якій розміщують рекламу, попередження, погрозу тощо. Такий тип кібератаки «спричиняє метушню, завдає збитку репутації, але не особливо шкодить даним у мережевих ресурсах».
Зокрема, кіберексперт Микита КНИШ писав, що атака базувалася на найпростішій уразливості в CMS (Content Management System) OctoberCMS. За його словами, про неї було відомо ще з травня: «Усі ці заклади заздалегідь знали про уразливість і мали час на виправлення з травня. Це все, що потрібно знати про реальну роботу українських «кіберцентрів». Це відповідь на запитання журналістів про те, чи насправді вони відбили там мільйони нападів на місяць, як героїчно розповідають у своїх репортажах. Для тих, кому важко потрапити, залишу лише суть: не видали одну, найпростішу на основі уразливості CMS, про яку було відомо ще з травня, а решта виглядає як повна профанація, в кращому разі, або тотальна недбалість — у гіршому».
Український центр реагування на кіберзагрози опублікував інструкцію, як держсайтам швидко усунути наслідки OctoberCMS.
Сайти українського уряду розробляла київська приватна IT-компанія Kitsoft (ТОВ «Комп’ютерні інформаційні технології»), яка спеціалізується на створенні IT-продуктів для державних органів та бізнесу. Як пише «Економічна Правда», найімовірніше, через цю компанію і було проведено централізовану кібератаку.
Сайти відомств швидко відновилися завдяки резервним копіям.
«Ресурси (держустанов. — Ред.) були ізольовані (вони стали недоступними ззовні), а через деякий час запрацювали в колишньому режимі, що свідчить про наявність неушкоджених бекапів», — зазначив голова наглядової ради Octava Capital Олександр КАРДАКОВ.
НАСЛІДКИ
Загалом хакери зламали майже 70 ресурсів, серед яких: сайт «Дія», сайти Державної служби надзвичайних ситуацій, Міністерства закордонних справ, Міністерства охорони здоров’я, Міносвіти, Міністерства молоді та спорту, Міненерго, Мінагрополітики, Кабінету Міністрів, Державної казначейської служби та інших органів.
Атакували і сайт Нацбанку, проте, як переконують у регуляторі, всі спроби вдалося нейтралізувати.
У Держспецзв’язку та Міністерстві цифрової інформації повідомили, що витоку даних українців не було.
За словами міністра цифрової трансформації України Михайла Федорова, 10 із 70 атакованих сайтів державних органів зазнали вторгнення, але їхній контент не було змінено, витоку персональних даних також не було, «і не могло бути — це не реєстри».
«Сайти органів державної влади не зберігають безпосередньо персональні дані, а реєстри під час цієї атаки не постраждали. Ми можемо говорити, що їхнього витоку не відбулося», — сказав Суспільному Юрій ЩИГОЛЬ, голова Держспецзв’язку.
Досі не відкривається стартова порталу diia.gov.ua — натомість відбувається переадресація на каталог послуг. Як написав співзасновник Moнoбaнку Олег Гороховський у своєму Telegram-каналі, ходять чутки про те, що база Моторного (транспортного) страхового бюро України знищена хакерами, повідомляє dev.ua.
Служба безпеки України поділилася рекомендаціями щодо того, як усувати вразливості до кібератак.
ДОПОМОГА
Європейський Союз готовий підтримати посилення стійкості України, в тому числі проти кібер— та гібридних загроз. Про це йдеться в чернетці висновків зустрічі Ради міністрів закордонних справ блоку щодо безпекової ситуації, яка є в розпорядженні редакції «Радіо Свобода».
«ЄС підтверджує свою відданість подальшій підтримці стійкості України, в тому числі в протидії кібер— та гібридним загрозам і спростуванні дезінформації. Рада відзначає важливість реформ на українському порядку денному як способу посилити зовнішню та внутрішню витривалість України і засвідчує перевірену часом та міцну підтримку ЄС у цьому напрямку», — йдеться в документі.
Згідно з ним, дипломати ЄС також засуджують тривалу російську агресію проти України і закликають Москву до деескалації ситуації, виконання вимог міжнародного права та переговорів.
«Діалог відповідно до ключових принципів, які лежать в основі безпекової архітектури Європи, є шляхом покращити безпекову ситуацію і захистити мир і стабільність на нашому континенті. Згадкам про «сфери впливу» немає місця у XXI столітті», — стверджують міністри закордонних справ.
Рада також знову висловлює підтримку суверенітету України та всіх східних сусідів ЄС і наголошує на важливості повного виконання Мінських угод. Дипломати висловили підтримку «зусиллям Франції та Німеччини в рамках нормандського формату, наголошуючи на відповідальності Росії як сторони конфлікту». Документ вказує на «цінну участь Моніторингової місії ОБСЄ, якій має бути наданий необмежений доступ по всій території України».
Блок акцентує також на тому, що принципи поваги до суверенітету країн та недоторканності кордонів, які окреслені в Хартії ООН, установчих документах ОБСЄ, Паризькій хартії та Гельсінських угодах, не підлягають обговоренню чи перегляду, а порушення їх Росією «загрожує миру і стабільності на континенті».
Рада пропонує Боррелю й надалі координувати позицію ЄС у співпраці зі Сполученими Штатами і країнами НАТО, залишаючись також залученим у роботі ОБСЄ.
«Держави-члени готові брати участь у посиленні механізмів забезпечення прозорості та передбачуваності військової активності, зокрема, в рамках ОБСЄ. Рада закликає Росію до конструктивної участі в цьому питанні. ЄС також підтримуватиме відновлення роботи з роззброєння та контролю над озброєннями», — йдеться в чернетці.
При цьому Рада також наголошує на важливості посилення стійкості всього ЄС та його партнерів проти кібер— та гібридних атак, інформаційних маніпуляцій із-за кордону, в тому числі дезінформації, й закликає Високого представника та Єврокомісію «посилити роботу в цьому напрямку».