🚀💳 Trustee Plus - більше ніж криптогаманець з європейською платіжною карткою. Спробуй 👉
Вікторія ГорбікТаке життя
27 березня 2025, 08:33
2025-03-27
«Зловмисники свідомо обрали "Укрзалізницю" як ціль». Експерт із кібербезпеки проаналізував випадок з атакою, після якої онлайн-продажі відновили лише на 5-ту добу
23 березня з ранку в «Укрзалізниці» повідомили про збій в IT-системі. Згодом стало відомо, що йдеться про хакерську атаку на ресурс. Про відновлення онлайн-продажів в «Укрзалізниці» заявили лише сьогодні зранку, за 89 годин нонстоп-роботи після безпрецедентної атаки на ключові операційні системи залізниці. Фахівець із кібербезпеки В’ячеслав Давиденко розібрав цю ситуацію з погляду кібербезпеки й поділився своїми думками з цього приводу. Ось які висновки він зробив.
23 березня з ранку в «Укрзалізниці» повідомили про збій в IT-системі. Згодом стало відомо, що йдеться про хакерську атаку на ресурс. Про відновлення онлайн-продажів в «Укрзалізниці» заявили лише сьогодні зранку, за 89 годин нонстоп-роботи після безпрецедентної атаки на ключові операційні системи залізниці. Фахівець із кібербезпеки В’ячеслав Давиденко розібрав цю ситуацію з погляду кібербезпеки й поділився своїми думками з цього приводу. Ось які висновки він зробив.
Випадковість чи ні
Те, що спочатку подавалося як «технічний збій», а потім виявилося таргетованою кібератакою, — це класичний сценарій. Зловмисники часто намагаються замаскувати свої дії, щоб виграти час і завдати більшої шкоди. Таргетовані атаки, як правило, є складнішими та вимагають більше ресурсів від зловмисників, ніж випадкові атаки.
Це означає, що зловмисники свідомо обрали «Укрзалізницю» як ціль, що підвищує рівень небезпеки. Тому що такі атаки ретельно плануються. З огляду на інформацію, яку вже було оприлюднено, що атака була «системна, нетривіальна та багаторівнева», можна зробити висновок, що зловмисники мали високий рівень підготовки та використовували складні інструменти. Можна припустити, що зловмисники використали комбінацію різних методів, щоб проникнути в системи «Укрзалізниці». Це може охоплювати фішингові атаки, використання шкідливого програмного забезпечення, експлуатацію вразливостей в програмному забезпеченні й інші методи.
Про глибину проникнення
Точну глибину проникнення вочевидь можна буде визначити лише після повного розслідування. Однак, з огляду на масштаб атаки, можна припустити, що зловмисники могли отримати доступ до значної частини інформаційних систем «Укрзалізниці». Зважаючи на те, що постраждали системи продажу квитків, найімовірніше, були атаковані зовнішні сервери або сегменти мережі, що відповідають за публічні сервіси. Це дає змогу зловмисникам викликати тимчасові збої без глибокого вторгнення в критичні внутрішні системи.
Є також варіант, коли зловмисники отримали доступ до внутрішньої мережі, що може свідчити про експлуатацію вразливостей у системах безпеки чи внутрішніх комунікаціях. Це потенційно дало їм змогу контролювати робочі процеси або отримати доступ до конфіденційних даних.
Зловмисники могли отримати доступ до особистих даних пасажирів, фінансової інформації або інших конфіденційних даних, що зберігаються в системах «Укрзалізниці».
Однак не можна виключати, що зловмисники могли спробувати отримати доступ і до більш критичних систем. Наприклад, систем, що контролюють рух поїздів, що могло б мати серйозні наслідки для безпеки. Однак, згідно з офіційними повідомленнями, рух поїздів вдалося втримати стабільним.
Про відновлення
З огляду на те, що «Укрзалізниця» повідомила про «багаторівневий і складний» характер атаки, відновлення може зайняти певний час. Відновлення після такої атаки може зайняти від кількох днів до кількох тижнів, а можливо, й більше. Час відновлення залежить від кількох чинників:
Наявність резервних копій: Якщо в «Укрзалізниці» добре налагоджена система резервного копіювання, базова функціональність (як-от продаж квитків) може бути відновлена раніше, можливо, уже за кілька днів.
Масштаб атаки: Якщо це була складна атака з упровадженням постійних бекдорів, процес очищення систем може тривати тижнями.
Необхідність зміни архітектури: Якщо виявлені серйозні вразливості, може знадобитися перебудова окремих компонентів системи, що потребуватиме більш тривалого часу.
Необхідно не тільки відновити працездатність, але й провести ретельний аналіз, щоб запобігти повторним атакам.
Можливі наслідки втручання
Операційні збої: Короткостроково можуть виникнути перебої в наданні послуг, що вплине на регулярну роботу залізничної компанії та викличе незручності для клієнтів.
Фінансові втрати: Як безпосередньо, так і опосередковано — через необхідність відновлення систем, проведення аудиту безпеки та потенційне розголошення конфіденційної інформації.
Репутаційний збиток: Інцидент може вплинути на довіру партнерів і громадськості, що важливо для стратегічних підприємств.
Подальші загрози: Зловмисники можуть використовувати отриманий доступ для подальших атак або шантажу, якщо вони отримали доступ до чутливих даних. Є потенційна загроза для інших пов’язаних систем, якщо атака була частиною більш масштабної кампанії.
Замість висновків
Ця атака — тривожний сигнал. Вона показує, що критична інфраструктура України залишається вразливою до кібератак. Тому необхідно: посилити захист критично важливих об'єктів, проводити регулярні навчання для персоналу, поліпшити співпрацю між державними та приватними організаціями у сфері кібербезпеки. «Укрзалізниці» необхідно інвестувати в кібербезпеку, щоб запобігти подібним атакам у майбутньому. Важливо розуміти, що в умовах війни, кібератаки на критичну інфраструктуру є одним із методів ведення війни з боку країни агресора.
UPD. Кібератака на «Укрзалізницю»: відновлення потрібне не лише пасажирським, а й вантажним сервісам. Розгорнуто резервну інфраструктуру, триває ретельна діагностика бекапів
