Хакеры атакуют: Государство пока не готово к кибервойне
Опубликованно 19.01.2017 04:21
Пока систему верховного суда подвергаются нападениям, проект закона о кибербезопасности, принятой Верховной Радой только в первом чтении, и координационный центр, который заработал летом, и не показали свою эффективность
Прошедший год был отмечен большой, если не рекордные в истории Украины, число хакерских атак на информационные порталы и компании. Хакеры нарушили работу энергетической и финансовой системы страны, военные программы. Чтобы оценить масштаб, посмотрите на список проблем, обвиняют хакеров в последние полтора года.
Несколько нападений на "Укрэнерго", обесточивание Западной Украины и Киева;
Взлом системы Финансов, государственного казначейства и Пенсионного фонда;
Атаки на сайты Министерства образования, минобороны, Мининфраструктуры, СНБО;
Взлом Twitter президент, сайт министра внутренних дел;
Повреждение серверов "Укрзализныци";
Вмешательства в Android-приложения для Вооруженных сил.
И это самые крупные взломы. Масштаб очень серьезный. "В целом, в течение последних двух месяцев на объектах пяти министерств и тридцать состояния информационного ресурса обнаружено около шести тысяч кампании кибер-атак", - сказал Петр Порошенко во время заседания Совета национальной безопасности и обороны. Власти кивают в сторону России, некоторые атаки общаются с русскими, хакеров и западных компаний, специализирующихся на кибербезопасности. И между тем, эксперты говорят, что безопасность государства находится под угрозой, и необходимо модернизировать оборудование защиты.
Артиллерия украинской в Донбассе в 2014 году уничтожили пиратов
В декабре этого года, аналитики CrowdStrike - американской компании, специализирующейся на кибербезопасности, опубликовала отчет, в котором были широко использованы в гибридных процессоров приложений для операционной системы Android, разработанный офицером артиллерии украины с целью упрощения расчетов при ведении огня, он может быть использован правительством российской федерации, как способ получить признание, например, о местонахождении украинских правительственных сил.
В 2014 году Fancy Bear создана для загрузки вредоносных программ в приложения и украинские военные форумы. В CrowdStrike обнаружили, что вариант вредоносной программы Fancy Медведь был использован для взлома Android-приложение, разработанное, чтобы помочь артиллерии войск более эффективным, чтобы управлять их устаревшие гаубицы на цель. Как правило, для руководства украины буксируемых гаубиц Д-30, советское время, нуждаются в несколько минут, данные для наведения вводятся вручную. С Android-приложения, это заняло 15 секунд, найти в CrowdStrike. Команда Fancy Медведь, конечно, расколоть приложение, позволяющее GRO использовать координаты GPS, мобильные телефоны для отслеживания позиций украинских войск. Таким образом, российская армия могла бы навести на украинских военных из артиллерии и других видов оружия. Украинские подразделения, выделенные на востоке Украины, были на острие конфликта, поддерживаемые Россией сепаратистские силы дебютировать в конце 2014 года, CrowdStrike.
В конце 2014 года численность российских войск в регионе составил около 10 тысяч. Android-приложение, помогли российские войска определять позиции артиллерии украины. По данным Международного института стратегических исследований, за два года конфликта украинский артиллерии войска потеряли более 50% своих вооружений, и более 80 процентов своих гаубиц Д-30, это самый высокий процент потери артиллерии оружие в арсенале, говорится в докладе. Приложение не было доступно в Android-магазине, только через свою страницу разработчика в социальной сети, украинский офицер-пулеметчик Ярослава Шерстюка, говорят в CrowdStrike. Активация приложения была возможна только после связи с разработчиком и отправки кода для настройки загрузки приложения.
Co-основатель и ведущий эксперт по технологиям CrowdStrike Дмитрий Альперович подчеркивает, что украина пример показателен для понимания, прочность отношений между хакерами Фантазии Bear и российских военных. "Для того, чтобы использовать данные от нападения данных на поле боя, необходимость тесной интеграции, - говорит Альперович. - Эти задачи находятся в компетенции ГРУ... на наш взгляд, это очень убедительное доказательство связи этих двух (Fancy Медведь и ГРУ) организаций".
Отключили все Карпаты
Между тем один из самых важных и самых опасных атак состоялась в декабре 2015 года. Тогда, хакеры смогли отключить от электросети частного регионе – Регионе, вмешиваясь в процесс работы "Прикарпатьеоблэнерго". Из-за этой "работы" более 700 жителей региона оказались без электричества в течение нескольких часов.
IT-системы компании пострадали так, что все должности должны были включать вручную. В “Прикарпатьеоблэнерго” из-за проблемы скромно называется "вмешательство посторонних лиц в работу телемеханики – автоматической системы контроля и управления оборудованием".
Однако, рассматривая эту ситуацию, международные компании и организации, как БЕЗ ICS, ESET и Symantec, показало, что электричество было отключено с помощью хакерской атаки с помощью вредоносного вируса Black Energy. По данным Symantec, вирус Black Energy стоит группировка песчаный червь, который эффективно действует против промышленных предприятий, Украины, других стран Европы и даже против НАТО.
Руткит BlackEnergy, который открыл доступ к внутренней сети компании, электроэнергии, получили на компьютеры за шесть месяцев до активации функции разрушительной.
Согласно заявлению Службы безопасности Украины (СБУ), что хакерская атака была попытка российских спецслужб атаковать компьютерные сети энергетики Украины. Американская компания iSight Partners, специализирующаяся в области электронного шпионажа, утверждает, что песчаный червь-это российская группа хакеров, и она вовлечена к беспрецедентному отключению электроэнергии в Украине. Этот случай заинтересовал, даже Центральное разведывательное управление, Агентство национальной безопасности и Департамент внутренней безопасности США, которое обязалось рассмотреть.
Позже, вирус Black Energy Госслужба спецсвязи Украины обнаружила в сети из аэропорта "Борисполь". "Специалисты Государственной спецсвязи помешали возможного нападения со стороны России. Вчера, специалисты по связям с общественностью отметили, что одной из рабочих станций в аэропорту "Борисполь" был заражен вирусом Black Energy. Зараженный компьютер был удален из компьютерной сети аэропорта, и об инциденте были проинформированы эксперты группы CERT-UA", — заявил председатель администрации президента Украины по вопросам АТО Андрей Лысенко.
"Потому что, в современном мире, технические средства разработаны таким образом, чтобы достоверно утверждать, что этот человек или эта организация совершила кибератаку очень трудно. За исключением случаев, когда данное лицо или организация поддерживает", - отметил глава представительства компании, которая является эксклюзивным дистрибьютором продукции ESET в Украине.
В 2015 году, версия с русскими хакерами был еще не очень популярен. Тем более в атаки, власти обвинили его хакерские группы.
Финансы также под угрозой
Пик атаки пришелся на конец 2016 года. 6 декабря, хакеры взломали сеть государственного казначейства, Министерства финансов Украины и Пенсионного фонда. При входе на сайт происходит переадресация на ресурс www.whoismrrobot.com. "Мы зажгли фитиль революции. И теперь, мы решили пошкворчит, если он умирает, или действительно зажигается. Наша настоящая работа только начинается". Это сообщение, хакеры разместили на главной странице ресурса. Обратите внимание на то, что казначейская служба является центральным органом исполнительной власти, который реализует государственную политику в области денежных средств в бюджет, бухгалтерского учета исполнения бюджетов.
В результате нападения 7 декабря 2016 года, проведение обязательных платежей на сотни миллионов гривен Госказначейством и Пенсионного фонда были заблокированы. Платежи проводились с задержками или не были, не работали сайты министерства Финансов и государственного казначейства.
Атаки на сайты этих ведомств был арестован два дня спустя, 8 декабря. Согласно сообщению на официальной странице минфина в Facebook, Госказначейство возобновило платежи, внутренние сети и базы данных, начали работать в нормальном режиме, все данные были сохранены. В результате нападения были серверы государственных учреждений. Министерство финансов отметили, что целью хакеров был срыв бюджетного процесса, реформа министра Финансов и подрыв доверия к системе кибербезопасности правительства.
Затем, сотрудник госпредприятия "Национальные информационные системы", которая занимается сопровождением госреестров, написал в Facebook, что "вирус, уложивший сокровище, называется "killdisk". Это популярная программа, которая имеет много разновидностей. Она доступна в исходном коде, поэтому злоумышленники всегда могут изменить его до неузнаваемости, чтобы антивирусная программа не найдена.
Программа killdisk была применена во время атаки с использованием BlackEnergy на энергокомпании в Украине. Эксперты говорят, что есть другая модификация killdisk. Этот троян уничтожает данные метода перезаписи, что делает невозможным восстановление данных.
Кабинет после нападения подчеркнул, министерству Финансов и Госказначейству 80 млн грн на защиту от хакеров.
Не русские, своих преступников
Ночью 14 декабря на шесть серверов, Приднепровской железных дорог (ПАО "Укрзализныця") была осуществлена кибератака, и утром 15 декабря был атакован система распределения порожних грузовых вагонов. "Мы выдаем документы, бумаги для машинистов. Все вопросы безопасности движения контролируются. Всем радио и телеграфная связь. Любая продажа билетов в кассах", - заявил глава "Укрзализныци" Войцех Балчун. Он также отметил, что были проблемы с диспетчерской системой энергоснабжения.
Топ-менеджмент, узи в этом нападении не видел след от российской федерации, но обвинил своих украинских коррупционеров. По мнению топ-менеджера, хакерская атака "острую реакцию, действующей системе коррупции на госпредприятии". Балчун сказал, что давление и угрозы в адрес членов его команды, связанные с запуском автоматизированной системы распределения пустых вагонов, который был запланирован на 28 декабря. Впрочем, министр инфраструктуры Владимир Омелян заявил, что "Укрзализныцю", напали украинские группы взлом на заказ “для неустановленного лица Санкт-Петербурга", что это был обман, чтобы украсть данные пассажиров. По словам Омеляна, нападения на министерство Финансов и Госказначейство были применены таким же образом. Следует отметить, что атаки на сайт Министерства инфраструктуры произошла 16 декабря.
Буквально неделю назад полицейские разоблачили группу хакеров, несанкционированного вмешательства в работу государственного реестра прав на недвижимое имущество. Мошенники снимали аресты с объектов недвижимости и перепроданы, и за свои услуги взял 10-15 процентов от стоимости объекта.
Следует также добавить, что 23 декабря 2016 года, хакерам удалось нарушить работу сайта Министерства образования Украины. Сайт МОУ был выведен из строя на несколько дней.
Администрации не были готовы
В докладе CyS Centrum LLC, которая занимается анализом киберугроз, он отметил, что нападение на министерство Финансов и Госказначейство очень похожи на те нападения, которые были совершены в декабре 2015 года на "Укрэнерго". Эксперты компании отмечают, что атаки украинских финансовых институтов могут начать в июле-августе. "Их ИТ-ресурсы стали уязвимы, по крайней мере, в марте 2015 года. Вирус рассылается по электронной почте. Сотрудник организации открывает письмо и выпускает на волю" вредоносные программы. Она начинает ждать свой час Х", – говорится в сообщении компании.
Несмотря на то, что активно атаковать Украине, хакеры начали в прошлом году, украинские органы государственной власти были абсолютно не готовы делать новые башни киберугроз. По словам директора компании “Криптософт” Геннадий Чепурды, в связи с развитием технологий хакерские атаки будут только усиливаться, и в нынешней ситуации с устаревшим оборудованием в государственных учреждениях, проводить атаки не слишком трудно.
"До недавнего времени государственные органы власти мало внимания вопросам кибербезопасности. Вопрос в том, чтобы начать решать на уровне государства", - отметил он, добавив, что одной из причин уязвимости верховного суда является также отсутствие квалифицированных специалистов в области кибербезопасности. По-видимому, технические эксперты, наконец, чиновники объяснили, что достаточно серверов для резервного копирования существующих низкой или устаревшей.
С ним соглашается и Алексей Герасимчук. По его словам, то, что происходит сейчас, это больше, неготовность государственных предприятий быть атакованы, если профессионально".В украину с ног до головы свергнут ситуации с "Укрэнерго" в прошлом году, и в этом году этот процесс продолжился", – сказал он.
В ночь с 17 на 18 декабря на станции "Норд" не удалось, на уровне управления, из-за чего потребители северной части правобережья Киева и прилегающих районов области были обесточены. Глава НЭК "Укрэнерго" Всеволод Ковальчук предположил, что основной версией является внешнее вмешательство через сеть передачи данных.
В зоне риска всех украинцев
Нельзя сказать, что атаки хакеров происходят только с правительством. Это случается с каждым. Пока жертва кибертеррора может стать домашний пользователь, который ничего подозрительного. “Чтобы скрыть следы своей деятельности хакеры используют каскад компьютеры жертв для передачи сигнала (malware, вирусы) и, следовательно, спрятаться, он не мог рассчитать", - отмечает Герасимчук.
По его словам, есть также ситуации, когда имя этого человека отправлять письма с вредоносными программами. Были также ситуации, когда заразить компетентный орган для того, чтобы отправить от его имени потенциальных жертв письмо, и они обнаружили, ибо доверие коллег отправителя. “Таким образом, кибербезопасности, и это касается не только обычного человека, верховного суда или частной компании - это касается всех участников, которые находятся в интернете", – сказал эксперт, добавив, что нападения происходят не только с компьютеров, но и с мобильных устройств.
Отметим, что проект закона о кибербезопасности, принятой Верховной Радой только в первом чтении. И координационный центр, который заработал летом, и не показали свою эффективность.
Максим Яцков
Категория: Блоги
