«Укрзалізниця» другий день страждає від масованої кібератаки на залізничні сервіси. dev.ua проаналізували хронологію хакерських атак на світові залізниці за останнє десятиліття.
«Укрзалізниця» другий день страждає від масованої кібератаки на залізничні сервіси. dev.ua проаналізували хронологію хакерських атак на світові залізниці за останнє десятиліття.
Залізнична логістика залишається однією з ключових у сучасному світі, і такі атаки відбуваються далеко не вперше. Міністр транспорту Чехії Мартін Купка повідомив, що росія здійснила «тисячі» кібератак на європейські залізниці, намагаючись дестабілізувати ЄС і підірвати критичну інфраструктуру.
Згідно зі звітом Європейського агентства з кібербезпеки (ENISA) за 2023 рік, залізнична інфраструктура Європи стикається із загрозами з боку програм-вимагачів, DDoS-атак і спроб викрадення даних, зокрема в системах продажу квитків і мобільних додатках.
26 листопада 2016 під час Дня подяки Муніципальна транспортна агенція Сан-Франциско, яку іноді називають Muni або SFMTA, стала жертвою атаки вірусу-здирника, що вразила внутрішні комп’ютерні системи, включаючи електронну пошту та систему продажу квитків.
Хакери вимагали 100 біткоїнів ($87 000) від SFMTA за відновлення функціональності систем. На Чорну п’ятницю працівники SFMTA побачили загадкове повідомлення на своїх робочих комп’ютерах: «Вас зламали, усі дані зашифровані» й електронну адресу з обіцянкою повернути доступ після оплати. SFMTA відмовилася платити викуп і відновила свої системи самостійно.
Шкідливе програмне забезпечення заразило близько 2000 з 8000 комп’ютерних систем SFTMA й отримало доступ до фізичних квиткових автоматів, що змусило муніципалітет надати пасажирам безплатний проїзд у вихідні на День подяки. Крім того, водії автобусів муніципального транспорту змушені були користуватися рукописними маршрутами.
У грудні 2016 року «Укрзалізницю» штормило як ніколи. Конфлікт нового та старого керівництва призвів до DDOS-атаки. Атаку пов’язували із запуском системи автоматичного розподілу вантажних вагонів, яка мала б ліквідувати корупційну компоненту.
Екскерівнику «Укрзалізниці» Войцеху Балчуну навіть довелося скасувати відрядження до Відня й зустріч з керівництвом австрійської залізниці через ситуацію в УЗ.
Тодішній Міністр інфраструктури Володимир Омелян повідомив, що DDOS-атака на «Укрзалізницю» була здійснена з території України на замовлення невстановленої особи із санкт-петербурга. Внаслідок атаки онлайн сервіс із купівлі квитків не працював протягом доби.
27 червня Україна потрапила під масштабну кібератаку. Тоді, окрім «Укрзалізниці», також постраждали: уряд України, Укрпошта, метрополітен Києва, міжнародний аеропорт «Бориспіль», аеропорти Харкова й Одеси, Чорнобильська АЕС, а також низка ЗМІ, банків, комерційних структур.
Атака була спрямована на комп’ютери, які використовували програмне забезпечення M.E.Doc і системи бухгалтерського обліку пов’язані з M.E.Doc.
Вірус Petya.A шифрував дані на комп’ютері та виводив на екран повідомлення, яке вимагає перевести 0,9 біткоїна для розблокування. Зараження відбувалося через фішингові електронні листи. За даними британського Національного центру комп’ютерної безпеки (NCSC), за атакою стояло угруповування російських військових хакерів Fancy Bear.
18 червня 2021 РНБО ввела санкції проти хакерів, причетних до розробки вірусу, зокрема проти чотирьох юридичних і шести фізичних осіб, пов’язаних зі спецслужбами країни 404. В «Укрзалізниці» повідомили, що попередньо набутий досвід у грудні 2016 допоміг їм швидко відреагувати на нову кібератаку.
У травні 2017 року ще одна нашуміла кібератака WannaCry прокотилася світом. Державний оператор залізничного транспорту Німеччини Deutsche Bahn став жертвою WannaCry, що призвела до порушень роботи його цифрових систем інформування пасажирів.
Атака в основному вплинула на електронні табло на станціях, які використовуються для оголошення часів прибуття та відправлення поїздів. Зламані табло транслювали вимогу сплати викуп у біткоїнах, із погрозами подвоїти суму, якщо оплата не буде здійснена протягом трьох днів.
Deutsche Bahn швидко розв’язала проблему з порушеними табло, відновивши нормальну роботу протягом кількох годин. Потяги продовжували рухатися без перерв, і не було зареєстровано жодних порушень безпеки руху.
Під час цього періоду залізнична інфраструктура зазнала кілька кібератак. У Чехії та Німеччині було кілька незначних інцидентів, які не вплинули на роботу залізничних служб. У Бельгії атака здвинула рух поїздів, але також була швидко нейтралізована.
Найбільше перепало нейтральній Швейцарії. ІТ інфраструктура місцевого виробника залізничного транспорту Stadler зазнала масштабної атаки. Зловмисники отримали доступ до 10 000 чуттєвих внутрішніх даних, в основному банківських контрактів і кредитів, а також податкової угоди з місцевою владою. Після того, як керівництво Stadler відмовилося сплачувати викупи, частина цих даних була опублікована в Twitter.
У січні 2022 року анонімний хакер виявив вразливість у системі Swiss Federal Railways (SFR), що надала доступ до особистих даних близько 500 000 пасажирів. Серед скомпрометованої інформації були імена, дати народження, маршрути поїздок і класи придбаних квитків.
Хакер повідомив про проблему швейцарському телеканалу SRF, підкресливши, що для експлуатації цієї вразливості не потрібні спеціальні ІТ-навички.
З початком повномасштабного вторгнення росії в Україну активізувалися різні хакерські групи, що чинили спротив окупанту.
Білоруська група анонімних хакерів-активістів «Кіберпартизани» заявила про успішний злом залізничної системи Білорусі. Через свій Telegram-канал група повідомила, що в межах кібератаки під назвою «Пекло» було зашифровано основні сервери, бази даних і робочі станції Білоруської залізниці (БелЖД), із метою уповільнити та порушити роботу транспорту. Зазначається, що бекапи даних були знищені, що ускладнює відновлення системи.
Кіберпартизани висунули вимогу — повернути доступ до серверів можна лише за умови звільнення 50 політичних в’язнів і припинення перекидання російських військ на територію Білорусі. Білоруська влада ніяк не відреагувала на атаку.
Проросійська хакерське угруповання Killnet узяло відповідальність за атаки 2022 року на румунського державного залізничного оператора CFR Calatori у квітні, на Литовську залізницю й латвійського оператора SJSC у червні та на Естонську залізницю в серпні.
Атака на Румунію відбулася одразу після візиту румунської делегації до Києва, де вони оголосили про підтримку Києва у війні проти росії в тому числі зброєю. У відповідь Національний директорат кібербезпеки Румунії, опублікувало на своєму офіційному вебсайті список із 266 IP-адрес, залучених до DDoS-атак 29 квітня. Нагадаємо, що dev.ua нещодавно поспілкувалося з генеральним директором Директорату паном Даном Чімпеаном.
Killnet здійснило DDoS-кібератаку на Литву, заявивши, що це стало відповіддю на рішення уряду Литви заблокувати доступ санкційних постачань до сусідньої російської території Калінінграда.
Відключення серверів стороннього постачальника ІТ-послуг призвело до повної зупинки залізничного сполучення в Данії. Кібератака була спрямована на постачальника рішень Supeo, який розробив програмне забезпечення Digital Backpack 2, яким користуються машиністи поїздів.
Без доступу до програмного забезпечення данські машиністи фактично залишилися сліпими, оскільки критично важлива інформація, як-от обмеження швидкості й технічне обслуговування залізниць, доставляється через додаток Supeo.
Італійська державна залізниця (FS) і її дочірні компанії Trenitalia та Italian Rail Network (RFI) зазнали масштабної атаки з використанням програмного забезпечення з вимогою викупу. Атака серйозно вплинула на системи продажу квитків, інформаційні табло для пасажирів і внутрішні комунікації.
Шкідливе програмне забезпечення Cryptolocker, що поширювалося електронною поштою, зашифрувало дані компанії. Хакери вимагали викуп у розмірі $5 млн доларів, погрожуючи подвоїти суму до $10 млн доларів.
Вантажні залізничні перевезення були тимчасово призупинені на 24 години не тільки в Італії. Повідомляється, що це вплинуло на FS, Metrans Rail Чеської Республіки, HUPAC Швейцарії та Lineas Бельгії. Також на деяких час неможливо було перетнути кордон з Австрією та Словенією.
Атака на мережу зв’язку польської національної залізниці зупинила 20 поїздів по всій країні та паралізувала рух на кілька годин протягом вихідних.
Підозрювані, громадяни Польщі віком 24 і 29 років, були заарештовані поблизу кордону з Білоруссю. Радіо RMF повідомило, що один із підозрюваних, імовірно, є співробітником поліції в Білостоці.
Диверсанти змогли паралізувати рух поїздів — як вантажних, так і пасажирських — по всій країні, просто надсилаючи радіочастотою команди «стоп» на потяги, які були їхніми цілями. Зловмисники також транслювали у вагонах російський гімн і фрагменти промови російського диктатора владіміра путіна. Польські потяги використовують радіосистему, у якій відсутнє шифрування або автентифікація, що робить їх вразливими до подібних зломів.
Üstra, транспортна компанія Ганновера, зіткнулася із серйозними наслідками хакерської атаки, що сталася 31 березня 2023. Електронні табло на зупинках не працювали кілька днів, продаж нового типу транспортного квитка Deutschland-Ticket було призупинено через кілька годин після запуску, телефонні та електронні сервіси компанії також не працювали.
За даними Hannoversche Allgemeine (HAZ), хакери проникли в ІТ-системи через заражене вкладення електронної пошти, яке шифрує файли.
У грудні 2023 року одна з найбільших у світі залізничних мереж стала жертвою хакерської атаки. Як і в попередніх випадках, хакери зламали офіційний сайт індійської залізниці та вимагали викуп у біткоїнах. Через деякий час зловмисник із ніком ShadowHacker повідомив у Telegram, що він має 34 мільйонів записів користувачів Індійської залізниці.
За словами хакера, зібрані дані містять різні деталі, такі як імена, адреси електронної пошти та номери телефонів і навіть кілька урядових електронних адрес. Зловмисник стверджував, що зібрав понад 25 мільйонів телефонних номерів та іншу особисту інформацію.
Разом із персональними даними було вкрадено різні дані про історію подорожей користувачів, а також інформацію про потяг і пункт призначення.
18 січня 2024 року національна залізнична компанія Бельгії, зазнала масованої кібератаки. Цей інцидент спричинив масові збої в роботі онлайн-сервісів компанії, вплинувши як на її вебсайт, так і на мобільний додаток, а також на інформаційні екрани на вокзалах по всій країні.
Барт Кролз, речник залізничної компанії, пояснив, що на вебсайт надійшов наплив запитів близько другої години ночі, що призвело до його збою через великий обсяг трафіку. Компанія негайно деактивувала вебсайт, щоб запобігти подальшій шкоді та потенційному витоку даних.
Час нападу був особливо проблематичним для пасажирів і мандрівників у Бельгії, оскільки він збігся з наслідками сильної сніжної бурі, яка спричинила значні збої в залізничній мережі напередодні.
Не обійшлося й без українського впливу. Раніше ми писали про масштабну кібератаку на російську компанію «РегионТрансСервис», яка займається обслуговуванням вантажних вагонів і співпрацює з армією рф.
Унаслідок атаки знищили всі сервери, вивели з ладу робочі станції та стерли резервні копії даних. Загалом постраждали 78 серверів та 211 робочих станцій.
На жаль, замикає список на залізничну інфраструктуру чергова кібератака на «Укрзалізницю». Збій у системі спостерігається з неділі, продаж онлайн-квитків поки що недоступний. «Усі ІТ-сили „Укрзалізниці“ досі зосереджені на відновленні після масштабного серверного збою», — йдеться в повідомленні перевізника. Стежте за оновленнями ситуації тут.
Як бачимо, ситуація з «Укрзалізницею» — далеко не єдина у світі кіберзагроз. Загалом Європейське агентство з кібербезпеки зазначає, що програми-вимагачі є основною загрозою для залізничного сектору, на яку припадає 45% кібератак. Зловмисниками є як іноземні ворожі спецслужби, які намагаються зірвати логістичні ланцюжки, так і хакерські угруповування з метою наживи на персональних даних пасажирів.
