Злам державних сайтів 14 січня показав глобальні проблеми з кібербезпекою в державі. І це не дивлячись на відносно оперативну реакцію, запевнення у тому, що «реєстри не зачепило», та пояснення причин зламу фахівцями CERT-UA.
Річ у тім, що хуліганство з розміщенням на сайтах держструктур картинок з образливим для українців змістом лише відволікало увагу від справжньої мети хакерів — знищити дані, які зберігаються у держреєстрах.
Ранком суботи, 15 січня, агенція Reuters опублікувала матеріал, в якому попереджала про можливість початку серйозної кібервійни проти України, в результаті якої українці можуть опинитись без світла, тепла та грошей.
А в понеділок, 17 січня, Національний координаційний центр кібербезпеки навів зразки шкідливого коду, призначеного для знищення даних держструктур в ході атаки, що почалась 14 січня.
Microsoft попереджає
15 січня представники Центру розвідки загроз Microsoft (Microsoft Threat Intelligence Center — MSTIC) розповіли про сліди прихованої кібератаки на українські держресурси: фахівці виявили впровадження в них небезпечного програмного забезпечення.
На думку спеціалістів Microsoft, небезпечне ПЗ виглядає як ransomware-додаток. Таку назву мають програми-вимагачі, які встановлюють на комп’ютер жертви у фоновому режимі через заражений файл чи посилання. Через ці програми шифрують вміст жорсткого диску, а потім вимагають від користувачів викуп. Наприклад, за схожою схемою застосовували вірус Petya.A у червні 2017 року.
Втім, фахівці Microsoft підкреслюють, що побачені ними додатки набагато шкідливіші, бо призначені не для отримання викупу, а щоб вивести з ладу пристрої-жертви.
Так, в технічному поясненні згадується про перезапис так званого Master Boot Record (MBR) — основного завантажувального запису жорсткого диску, що є нетиповим для традиційних програм-вимагачів. Додаткові ризики несе той факт, що небезпечне ПЗ запускається, коли пристрій жертви вимкнено.
«Наразі наші слідчі групи виявили небезпечне програмне забезпечення в десятках уражених систем, і ця кількість може зростати по мірі нашого розслідування. Ці системи охоплюють декілька державних, некомерційних та ІТ-організацій з України. Ми не знаємо поточного етапу операційного циклу цього зловмисника або того, скільки є інших організацій-жертв. Однак малоймовірно, що виявлені нами системи відображають весь масштаб впливу», — повідомляє Microsoft та додає, що «ці дії становлять підвищений ризик для будь-якого державного органу, некомерційної структури чи підприємства, що знаходиться або має ІТ-системи в Україні».
Цікаво, що у Microsoft стверджують, що перші ознаки цієї кібератаки в компанії зафіксували ще 13 січня 2022 року.
Новий погляд на атаку 14 січня
Заява Microsoft спонукає по-новому подивитись на причини атаки 14 січня. Ймовірно, державні сайти перестали працювати не через неоновлену систему управління контентом OctoberCMS. Хоча саме це було найбільш очевидною версією їхнього зламу, про яку згадували декілька фахівців з безпеки — як вітчизняних, так і закордонних.
Швидше за все, зловмисники організували дефейс-атаку 14 січня, щоби відволікти увагу від більш серйозної загрози, яка передбачала знищення важливих даних на серверах державних структур.
Про новий вектор атак згадує з посиланням на експерта з кібербезпеки і агенція Associated Press: «Зловмисники проникли в державні мережі через спільного постачальника програмного забезпечення в рамках так званої атаки на ланцюжок поставок (supply-chain attack) у стилі російської кампанії кібершпигунства SolarWinds 2020 року проти уряду США».
Про атаку на ланцюжок поставок згадує і Державна служба спеціального зв'язку та захисту інформації України у своєму дописі, опублікованому ввечері 14 січня.
Подібне втручання передбачає злам програмного забезпечення, яке використовує жертва. При цьому відбувається не прямий злам жертви, а компрометується її постачальник чи партнер, чиє ПЗ чи інструменти вона використовує. Таким чином, опосередковано, зловмисники добираються до кінцевої жертви. За схожою схемою уже проводилися атаки на об’єкти критичної інфраструктури та державні органи США у 2019-2022 роках.
Тоді фахівці ФБР визнали, що атаку влаштувало угрупування хакерів, спонсороване російськими спецслужбами.
Що стосується української атаки у січні 2022-го, то найбільш ймовірним постачальником ПЗ, якому завдали удару, був KitSoft, розробник сайтів багатьох державних структур. Сайт KitSoft досі не працює. В офіційному повідомленні компанії згадується про те, що постраждали не лише її сайти, але й розроблені іншими компаніями портали. Хоча це не виключає, що першою жертвою supply-chain-атаки можуть бути й інші ІТ-фірми, які стали проміжними ланками та через які зловмисники отримали доступ до кінцевих жертв.
Наскільки все погано і що робити?
Підсумовуючи, дефейс 14 січня став маневром на відволікання суспільства та фахівців з безпеки від реального стану подій. Наразі невідомо, скільки компаній чи систем постраждали. Не виключено, що атака триває до сьогодні і про її реальний масштаб ми дізнаємося лише згодом.
Яку кількість державних платформ, об’єктів критичної інфраструктури, фінансових організацій чи інших структур зачепила ця атака або зачепить в майбутньому, теж наразі невідомо. До прикладу, Державна служба спеціального зв'язку та захисту інформації України 16 січня згадала про втрату доступу до інформаційних ресурсів Моторного (транспортного) страхового бюро України (МТСБУ), обіцяючи, що сам реєстр не постраждав і найближчим чином доступ до нього відновлять. Прямим наслідком збою стало те, що на вихідних у додатку «Дія» не підтягувалися страхові поліси власників автомобілів.
Ідеально вибраний час атаки — в робочий день, але перед вихідними, коли в Україні ще триває довгий період різдвяних свят, дефейс-повідомлення російською та польською мовами, скупчення російських військ на кордоні не дають сумнівів стосовно того, що кібернапад на українські ресурси є актом гібридної війни, яка триває в Україні не перший рік. І це може бути початком глобальнішого удару, результати якого ми зрозуміємо згодом, у потрібний росіянам день та час.
