Минулого місяця, коли політики й експерти тільки обговорювали можливість фізичного вторгнення РФ на територію України, гібридна війна вже почалася.
Минулого місяця, коли політики й експерти тільки обговорювали можливість фізичного вторгнення РФ на територію України, гібридна війна вже почалася.
І полягала вона в тому, щоб нагнати паніки на людей, а також «потикати пальцями» в айтішну інфраструктуру — зрозуміти, що де погано лежить, що можна зламати, наскільки швидкою буде реакція.
У військовій термінології цьому є класична назва — розвідка боєм. Мабуть, саме така кібероперація і сталася в ніч з 13 на 14 січня, коли деякі держсайти перестали працювати, а частина сервісів, такі як електронна автоцивілка, просто дуже надовго лягли.
Журналісту dev.ua вдалося поспілкуватися в Україні з кіберекспертом, який понад десятиліття працював як у бізнесі, так і в органах, розслідував різні кіберінциденти та атаки, і зараз відіграє важливу роль у консультуванні держави щодо поточних загроз.
Ім’я експерта ми розкрити не можемо — він готовий був поспілкуватися тільки анонімно.
Експерт добре знайомий з ситуацією зсередини: як влаштована кібербезпека всередині бізнесів, держорганів, СБУ, Держспецзв’язку. Які є вразливі місця, хто орудує «на тій стороні» і чому зламати в Україні в принципі можна все.
Ми пробіглися по основним питанням, які багатьох турбують.
Всю плутанину внесли недоговорки. Було кілька атак на базі різних вразливостей (October CMS, supply chain, etc.). І в різному ступені деталізації вони були відомі різним гравцям. Хтось сказав одне, хтось –інше. А у суспільства не склалася цілісна картинка. Немає розуміння ні того, хто за цим стоїть, ні результатів. По частині атак розслідування тривають. І вони ніколи не будуть опубліковані, і про них ніколи ніхто не скаже.
Про серйозні складні APT атаки суспільство мало знало, і знатиме мало й надалі. Це знання йому й не дуже потрібно.
Що варто знати: якщо буде загрожувати серйозна агресія, її передвісником буде напруження такого роду речей, для того щоб психологічно вплинути на суспільство і паралізувати деяку діяльність.
Необов’язково просто танками їхати — можна тиждень посидіти в місті без світла і каналізації. І отримаєш ефект не менший.
Переважна більшість сайтів відключили через необхідність перевірки на наявність шкідливих вірусів. Тут не варто думати, що всі сайти, які не працювали, були зламані. Багато з переляку повідключали. Нікому ж не хочеться, щоб у нього на сайті дефейс з’явився.
Це темна історія. Воно досі не працює. Банки самі кажуть: ми вам видаємо страховку, але при цьому ви її в базах не шукайте. Але у випадку з МТСБУ я, наприклад, сильно здивуюся, якщо у них не було бекапів. Тому що ці дані — це їхній бізнес. Втратити сам предмет своєї діяльності — це жестяк. Тому я думаю, що у них все є. Просто вони вирішили скористатися ситуацією й переглянути свій захист.
Якби МТСБУ був об'єктом критичної інфраструктури, вони були б зобов’язані повідомити в органи, що їх зламали і завдали шкоди. Але судячи з усього, ніхто нікуди не звертався. І проводиться тільки внутрішнє розслідування. І це справа приватної структури.
Заступник секретаря РНБО України Сергій Демедюк говорив Reuters, що до атаки причетна хакерська група UNC1151, яка раніше атакувала Литву, Латвію і Польщу. І ця інформація дійсно циркулювала в професійних колах. Але вона була скоріше припущенням, версією комерційних дослідників, а не правоохоронців. Можливо, аналітики РНБО її нагуглили у відкритих звітах, поклали в папку Демедюку. А він сказав: «Ну ось, так, є ознаки».
Але в звіт CERT немає ніякої прив’язки. Є тільки технічний аналіз атаки. І це абсолютно нормальне явище. Цим і повинен займатися CERT — команда реагування на комп’ютерні надзвичайні події України.
Ясна річ, що ті витяги з Дії, які виклали в інтернеті, просто могли бути компіляцією якихось даних в надії потрапити під хвилю піару.
Хоча не виключено, що це інформація від тестувальників, які десь там хостили свої ресурси. І вони згодом були скомпрометовані. Один з недоліків, який закидають розробникам Дії — у них немає інфраструктури, яка була б захищена при розробці. Їх критикують, що все роблять на коліні.
Є ще одна версія в експертних колах:
Ми знаємо, що принцип роботи Дія — брати або відправляти інформацію реєстрів різних міністерств і відображати її на порталі та/або в мобільному додатку. Тобто фактично вся інформація, всі дані громадян України зберігаються в реєстрах, а Дія тільки змінює їх або відображає.
Але є нюанс — для технологічних потреб необхідна проміжна, тимчасова база (буфер обміну, кеш), яка знаходиться на стороні інфраструктури порталу Дії, і там тимчасово зберігаються запити й відповіді з реєстрів (як буфер обміну при копіюванні інформації на комп’ютері і в мобільному телефоні). Ось з цієї проміжної бази і міг статися витік. Як він міг статися — віддалений злам або інсайдерський злив — невідомо, це можна дізнатися тільки після розслідування.
Видно тільки вершину айсбергу — тимчасово поклали сайти держорганів. Але це дитячий сад, друга чверть.
Ясна річ, що це не можна назвати зламом критичної інфраструктури.
У більшості структур вже є бекапи. І якщо інформація стерта, вони можуть відновитися. Хоча бували випадки, що і бекапів не було.
Ті атаки, які зараз відбулися — вони були пристрілювальні. Тестові. І я вкрай сумніваюся, що більш серйозних атак, таких як BlackEnergy на енергетичну інфраструктуру в 2015 році, коли хакери відключали світло на Закарпатті, не можна повторити зараз.
Ми знаємо кілька гравців, які генерують угруповання пачками-десятками. Створюють їх силові структури: ГРУ, ФСБ і зовнішня розвідка.
У Російській Федерації відбулося зрощення хакерських угруповань на патріотичній і взаємовигідній основі. Це ще давно сталося. Відтоді, як вони на кардерстві почали заробляти гроші, органи через компромати почали залучати їх до співпраці.
Вони розуміють, що або співпрацюватимуть, або сидітимуть у в’язниці.
У Росії теж не все добре із захищеністю даних у державних органах. І якщо наші хакери зберуться, щоб дати їм люлей, то, можливо, все у них вийде.
Теоретично це можливо, але наша держава не ставить таких цілей. У нас оборонна доктрина.
Наступальні сили ми не розвиваємо. І їх неможливо налагодити за короткий проміжок часу.
Насправді більш професійні специ — це ті, хто захищає, а не ті, хто атакує. Тих, кого не ламають, і не видно. А якщо про них говорять, значить, вони не такі вже й професіонали.
Зараз обговорюється проєкт про кібероборону і кібервійська. І, можливо, ця тема отримає розвиток. Але в паблік це питання навряд чи буде винесено. Ніхто ж у Фейсбуці не обговорює, як розвивати сухопутні війська, наприклад.
Якщо міркувати про те, що має превалювати: кіберзахист або напад, то, звичайно, перше. І ми зараз робимо правильну ставку.
Захист гарантує можливість атакувати. Якщо ти не захищений, але намагаєшся атакувати, то твої дії контролюються противником з самого початку. І шансів досягти успіху мало.
Одна з вразливостей останньої атаки на державу (October CMS) з’явилася ще в травні. Але мало хто з держорганів спромігся її пропатчити. В результаті маємо що маємо.
Чому?
Ефективність донесення індикаторів компрометації досі під питанням. У Держспецзв’язку, СБУ вже давно працює MISP — Malware Information Sharing Platform. Це система — такий собі сервак, дозволяє розшерити технічні дані про атаки між тими, хто підключений до платформи. У форматі, який дозволяють застосовувати техзасоби:
У тебе стоїть простий фаєрвол — ти можеш приймати блеклисти якихось айтішників.
У тебе стоїть Web Application Firewall –значить ти можеш забирати більш тонку інформацію.
Дані в MISP потрапляють від загальнодоступних джерел — Microsoft провів розслідування про атаки. Крім того, збираються дані, які генерують внутрішні підрозділи при розслідуванні кіберинцедентів.
В СБУ завантажувалися дані про інциденти разом з описами того, що сталося. І була система тегування. Можна пов’язувати події між собою за сукупністю схожостей тактик і технік угруповань.
Першими на озброєння після атаки Petya / notPetya MISP поставили в СБУ. У них хоч і найстаріший MISP, але далеко не всі мають до нього доступ. А якщо і підключені, то не всі оновлюють дані, і не всі їх взагалі використовують.
Якщо MISP Держспецзв’язку відкритий для всіх об'єктів критичної інфраструктури, то MISP СБУ має обмеження. Деякі об'єкти до неї підключені і не мають права поширювати інфу далі. Там закрите середовище, бо вони діляться не тільки відкритою інформацією, але і своєю.
Чому так акуратно? Не секрет, що контррозвідка аналізує зібрані знання про себе. І змінює свою тактику, техніку. Для того, щоб та сторона не мала такої можливості, дані віддаються далеко не всім.
Весь. На жаль, після атаки Petya/notPetya в 2017 році не до кінця були отримані уроки.
27 червня 2017 року почалася масштабна кібератака на українські ПК. вірус-шифрувальник Petya.A шифрував дані, вимагаючи викуп у розмірі $300. Вірус проник через програму здачі звітності M.E.Doc, якою користувалися десятки тисяч бухгалтерів в Україні.
Уроки з Petya не взяли ті, хто можуть постраждати і зараз. Тому що на той момент наявні можливості і ресурси дозволяли отримати дані тільки про верхівку — самої останньої за часом частини цієї операції.
Тобто, слідова картина дозволяла пролити світло тільки на її закінчення. Про її середину свідчать лише нечисленні сліди. А про початок — взагалі ніякі.
На останньому етапі хакери мімікрували під ransomware — вимагали викуп у жертв за «розшифровку» їх даних. Але насправді потрібно було просто знищити слідову картину — і це був відволікаючий маневр.
В останній атаці від 13 січня 2022 року, до речі, теж був елемент імітації вірусу-вимагача. Цим вона схожа на Petya.
Швидше за все, це була шпигунська діяльність. Збір розвідувальної інформації, щоб отримати набір даних від жертв Petya.
Задайте собі питання: навіщо комусь писати скрипт, а в його основу класти український код ЄДРПОУ і збирати інформацію про нього на кожному зламаному компі?
Все просто: щоб зіставити дані з компів з уже іншими зібраними даними, отриманими з наших же публічний реєстрів, там де кожне підприємство вказано з директором, адресою і всім іншим.
ЄДРПОУ — це був ключ.
З'єднуємо перше і друге і отримуємо приналежність кожної зламаної машини до певної компанії або організації, наприклад, того ж Міноборони, об'єктів критичної інфраструктури й так далі.
Коли така об'єднана база сформована, ти можеш одним натисканням кнопочки дізнатися, а які комп’ютери зламані, скажімо в СБУ або підприємств, які до неї відносяться.
У тебе є карта, яку ти можеш передати хакерам для виконання якихось капостей.
Якщо ти раніше не міг знайти голку в стозі сіна, то тепер можеш її легко виявити. Ось для чого потрібна була атака Petya.
Відкриті дані та рішення на їх основі, до яких ми зараз звикли, є шкідливим для нас в умовах війни. І це абсолютна норма у відкритих громадянських суспільствах, які за рахунок своїх публічних даних наводять порядок в системі й сильно економлять на їх обробці.
Відкриті дані — це добре. Але при цьому в нинішній період це досить серйозно піднімає нашу вразливість. Цим можуть скористатися за тих розкладів, за яких би ніхто не скористався раніше.
Хакери, які живуть на території тієї країни, розуміють, що вони в Україні можуть ламати все що завгодно. Позаяк не буде ніяких спільних розслідувань правоохоронців в рамках міжнародної правової допомоги, поки йде війна.
Тому і такий сплеск активності.
У держсекторі спостерігається величезний перекіс у бік покупки чогось дорогого — заліза, софта. При цьому скілли співробітників можуть бути на дуже низькому рівні. І вони просто не зможуть цим залізом скористатися.
Рівень скіллів спеців в держIT залишається низьким, так як по зарплатах навряд чи виходить конкурувати з комерційним сектором.
Щоб довести зарплати до рівня ринку, потрібно збільшувати бюджет. А навіщо ж його збільшувати, якщо і так добре?
Ми досі не зрозуміли, що не вкладати в людей — це згубно. Все куплене залізо і софт перетворюється в купу металобрухту.
За всіма держструктурами приблизно однакова сітка посадових окладів. І там, де у керівників був стимул на неї вплинути, платять трохи більше. За рахунок надбавок і премій.
В СБУ отримують в середньому в районі 30-40к грн. Занадто хороші отримують трохи більше. Але це одиниці.
У Держспецзв’язку зараз підняли. У них вже або на рівні, або навіть трохи більше. І знову ж таки це стосується одиниць. Основний стафф як і раніше має мало.
Військові вважають, що їхня головна перевага в розрізі кібератак — те, що дані не оцифровані. І зберігаються в картотеках. З іншого боку хакерам ці картотеки і не потрібні. Вони можуть отримати про військових набагато більше даних через бізнес, який їх обслуговує. І який оцифрований. Наприклад, які поставки продовольства відбуваються, коли і куди, в якому обсязі. Маючи такий фактаж під рукою, можна скласти про військових набагато точнішу й динамічно мінливу картинку, ніж та, що доступна нам зсередини.
