“Привет, друг. Мы снова здесь. Битва началась, но до конца войны еще далеко…”, – так утром 6 декабря 2016 года встречал посетителей веб-сайт Государственного казначейства Украины. Точнее, сам сайт перенаправил на другую страницу с доменным именем whoismrrobot.com. Но все равно немногие могли узнать в англоязычном приветствии цитату из американского телесериала Mr.Robot – истории о группе хакеров, которая ведет борьбу против могущественной финансовой корпорации.
Эксцентричная выходка с заменой главной страницы сайта оказалась лишь оберткой масштабной хакерской атаки на финансовую систему Украины, которая длилась около трех суток. Ее главной целью стали платежные системы казначейства, Пенсионного фонда и министерства финансов. В течение следующих дней объектами стали информационные системы министерств обороны и инфраструктуры, железной дороги, морского порта “Южный” и НАК “Укрэнерго”.
“Нам известно о, как минимум, 25 инцидентах хакерских атак на государственные учреждения в течение последних трех недель, – рассказал DW начальник департамента украинской киберполиции Сергей Демедюк. – Однако официально мы расследуем только четыре. Другие пострадавшие к нам не обращаются или не заявляют об атаках публично”.
Тысячи платежей, сотни вагонов и районы без света
DW пыталась подсчитать ущерб от декабрьских атак на государственные информационные системы Украины, но большинство пострадавших учреждений не спешат разглашать свои потери. В пресс-службе “Украинских железных дорог” DW рассказали, что из-за атаки хакеров в течение двух суток не работали системы электронного документооборота: в частности, система оформления грузов, а также система бронирования и продажи электронных билетов. Через последнюю, по прогнозам железнодорожников, за 2016 год должно пройти около 30 млн заказов, а значит потери от двухдневного простоя можно оценить по меньшей мере в 160 тысяч операций.
Относительно легко прошла на этот раз атака для энергетических систем. Сбой на подстанции “Северная”, в результате которого без света остались жители правобережного Киева и соседних районов области, удалось ликвидировать примерно за один час. Генеральный директор компании “Укрэнерго” Всеволод Ковальчук оценил объем отключения в 200 мегаватт, или примерно в пятую часть от ночного объема потребления столицы.
Наиболее масштабные потери понесла сфера финансов. Платежные системы Госказначейства не работали в течение как минимум трех рабочих дней, что практически парализовало всю систему бюджетных расчетов.
“Таможенные платежи подвисли, тишина, ничего не понятно, – объясняла тогда в комментарии изданию “РБК-Украина” вице-президент Украинского союза промышленников и предпринимателей Юлия Дроговоз. – В системе электронного администрирования НДС не было зарегистрировано ни одной накладной. А если вовремя этого не сделать – штраф”.
Еще большие потери могут быть связаны с похищением информации, считает заместитель директора Национального института стратегических исследований при президенте Украины Александр Власюк. По его словам, во время атаки учреждения потеряли три терабайта конфиденциальных данных. В ведомствах не подтверждают слова Власюка, а руководитель киберполиции Сергей Демедюк вообще отрицает вероятность утечек. “Мы не нашли никаких следов похищения каких-либо реестров”, – заявил он DW.
Следствие ведут
В украинской киберполиции усматривают в декабрьских атаках “руку Кремля”, называя их еще одним элементом гибридной войны. “Конечно, пострадавшие могут делать любые предположения, а политики – громкие заявления, – говорит Сергей Демедюк. – Но сейчас я могу заявить, что все последние известные нам атаки имеют общие черты, общий путь заражения компьютерных систем через довольно примитивный вирус и элементарную неграмотность сотрудников”.
Как рассказали DW в компании CYS-Centrum, одном из двух официально зарегистрированных в Украине центров реагирования на компьютерные чрезвычайные события (CERT), жертвы декабрьских атак вероятно были заражены еще весной-летом этого года. А в октябре пользователи в нескольких пострадавших организациях получили электронные письма от якобы координаторов программ западной донорской помощи. Письма содержали файл Microsoft Excel с перечнем рекомендованного IT-оборудования, однако для корректного отображения содержимого пользователю предлагалось запустить так называемый макрос – встроенную макрокоманду, которая самостоятельно скачивала компьютер вирус из Сети.
“Вирусы в макросах – достаточно простой, старый способ заражения, – объясняют в CYS-Centrum. – Но у нас на него до сих пор попадаются. По подобной схеме была организована и прошлогодняя атака на объекты “Прикарапаттяобленерго”. В результате за год никто ничему не научился”.
Не бороться, а предупреждать
8 декабря, сразу после завершения хакерской атаки на финансовые учреждения, кабинет министров Украины выделил по 40 млн гривен министерству финансов и Госказначейству на срочное обновление IT-оборудования. Опрошенные DW эксперты однако отмечают, что одной лишь заменой “железа” проблему защиты информационных ресурсов государства не решить. “Нужно повышать грамотность госслужащих, нанимать качественных специалистов по безопасности, которые постоянно совершенствовали бы свои знания и предупреждали бы атаки, а не исправляли их последствия”, – объясняет глава киберполиции Сергей Демедюк.
В CYS-Centrum – компании, основанной бывшими сотрудниками Госслужбы спецсвязи и защиты информации, – также констатируют, что важность предупреждения кибератак не понимают даже в частном секторе. “С точки зрения затрат, наша работа стоит 36 тысяч долларов в год. Но даже украинским банкам сейчас трудно платить и 20 тысяч в год “, – объясняют в компании.
Наши наблюдения подтверждают эту точку зрения. “Мы просчитали, нам проще просто на несколько дней выключить системы, чем нанимать специалистов”, – прокомментировали DW в одном из украинских учреждений, пострадавших во время декабрьских атак.