Взлом государственных сайтов 14 января показал глобальные проблемы с кибербезопасностью в государстве. И это несмотря на относительно оперативную реакцию, заверение в том, что «реестры не зацепило», и объяснение причин взлома специалистами CERT-UA.
Дело в том, что хулиганство с размещением на сайтах госструктур картинок с оскорбительным для украинцев содержанием отвлекало внимание от настоящей цели хакеров — уничтожить данные, которые хранятся в госреестрах.
Утром в субботу, 15 января, агентство Reuters опубликовало материал, в котором предупреждало о возможности начала серьезной кибервойны против Украины, в результате которой украинцы могут оказаться без света, тепла и денег.
А в понедельник, 17 января, Национальный координационный центр кибербезопасности предоставил образцы вредоносного кода, предназначенного для уничтожения данных госструктур в ходе атаки, которая началась 14 января.
Microsoft предупреждает
15 января представители Центра разведки угроз Microsoft (Microsoft Threat Intelligence Center — MSTIC) рассказали о следах скрытой кибератаки на украинские госресурсы: специалисты обнаружили внедрение в них опасного программного обеспечения.
По мнению специалистов Microsoft, опасное ПО выглядит как ransomware-приложение. Такое название имеют приложения-вымогатели, которые устанавливают на компьютер жертвы в фоновом режиме через зараженный файл или ссылку. С помощью этих приложений шифруют содержимое жесткого диска, а потом требуют от пользователей выкуп. Например, по схожей схеме применяли вирус Petya.A в июне 2017 года.
Впрочем, специалисты Microsoft подчеркивают, что увиденные ими приложения намного вреднее, потому что предназначены не для получения выкупа, а чтобы вывести из строя устройства-жертвы.
Так, в техническом объяснении упоминается о перезаписи так называемой Master Boot Record (MBR) — главной загрузочной записи жесткого диска, что нетипично для традиционных программ-вымогателей. Дополнительные риски несет тот факт, что опасное ПО запускается, когда устройство жертвы выключено.
«На данный момент наши следственные группы обнаружили опасное программное обеспечение в десятках пораженных систем, и это количество может расти по мере нашего расследования. Эти системы охватывают несколько государственных, некоммерческих и ИТ-организаций из Украины. Мы не знаем текущего этапа операционного цикла этого злоумышленника или того, сколько есть других организаций-жертв. Однако маловероятно, что выявленные нами системы отражают весь масштаб влияния», — сообщает Microsoft и добавляет, что «эти действия представляют повышенный риск для любого государственного органа, некоммерческой структуры или предприятия, которое находится или имеет ИТ-системы в Украине».
Интересно, что Microsoft утверждают, что первые признаки этой кибератаки в компании зафиксировали еще 13 января 2022 года.
Новый взгляд на атаку 14 января
Заявление Microsoft побуждает по-новому взглянуть на причины атаки 14 января. Вероятно, государственные сайты перестали работать не из-за необновленной системы управления контентом OctoberCMS. Хотя именно это было наиболее очевидной версией их взлома, о которой упоминало несколько специалистов по безопасности — как отечественных, так и зарубежных.
Скорее всего, злоумышленники организовали дефейс-атаку 14 января, чтобы отвлечь внимание от более серьезной угрозы, которая предполагала уничтожение важных данных на серверах государственных структур.
О новом векторе атак вспоминает со ссылкой на эксперта по кибербезопасности и агентство Associated Press: «Злоумышленники проникли в государственные сети через совместного поставщика программного обеспечения в рамках так называемой атаки на цепочку поставок (supply-chain attack) в стиле российской кампании кибершпионажа SolarWinds 2020 года против правительства США».
Об атаке на цепочку поставок упоминает и Государственная служба специальной связи и защиты информации Украины в своем сообщении, опубликованном вечером 14 января.
Подобное вмешательство предполагает взлом программного обеспечения, которое использует жертва. При этом происходит не прямой взлом жертвы, а компрометируется ее поставщик или партнер, чье ПО или инструменты она использует. Таким образом, косвенно злоумышленники добираются до конечной жертвы. По схожей схеме уже проводились атаки на объекты критической инфраструктуры и государственные органы США в 2019-2022 годах.
Тогда специалисты ФБР признали, что атаку устроила группировка хакеров, спонсируемая российскими спецслужбами.
Что касается украинской атаки в январе 2022-го, то наиболее вероятным поставщиком ПО, которому нанесли удар, был KitSoft, разработчик сайтов многих государственных структур. Сайт KitSoft до сих пор не работает. В официальном сообщении компании упоминается о том, что пострадали не только ее сайты, но и разработанные другими компаниями порталы. Хотя это не исключает того, что первой жертвой supply-chain-атаки могут быть и другие ИТ-фирмы, которые стали промежуточными звеньями и через которые злоумышленники получили доступ к конечным жертвам.
Насколько все плохо и что делать?
Подводя итог, дефейс 14 января стал маневром на отвлечение общества и специалистов по безопасности от реального состояния событий. Пока неизвестно, сколько компаний или систем пострадали. Не исключено, что атака продолжается по сей день и ее реальный масштаб мы узнаем лишь впоследствии.
Какое количество государственных платформ, объектов критической инфраструктуры, финансовых организаций или других структур задела эта атака или заденет в будущем, тоже пока неизвестно. К примеру, Государственная служба специальной связи и защиты информации Украины 16 января упомянула о потере доступа к информационным ресурсам Моторного (транспортного) страхового бюро Украины (МТСБУ), обещая, что сам реестр не пострадал и в ближайшее время доступ к нему возобновится. Прямым следствием сбоя стало то, что на выходных в приложении «Дія» не подтягивались страховые полисы владельцев автомобилей.
Идеально выбрано время атаки — в рабочий день, но перед выходными, когда в Украине еще длится долгий период рождественских праздников, дефейс-сообщения на русском и польском языках, скопления русских войск на границе не дают сомнений в том, что кибернападение на украинские ресурсы является актом гибридной войны, которая длится в Украине не первый год. И это может быть началом более глобального удара, результаты которого мы поймем позже, в нужный россиянам день и время.