В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.
В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.
И заключалась она в том, чтобы нагнать паники на людей, а также «потыкать пальцами» в айтишную инфраструктуру — понять, что где плохо лежит, что можно взломать, насколько быстрой будет реакция.
В военной терминологии этому есть классическое название — разведка боем. Видимо, именно такая кибероперация и произошла в ночь с 13 на 14 января, когда некоторые госсайты перестали работать, а часть сервисов, такие как электронная автоцивилка, просто очень надолго легли.
Журналисту dev.ua удалось пообщаться в Укриане с киберэкспертом, который больше десятилетия работал как в бизнесе, так и в органах, расследовал различные киберинциденты и атаки, и сейчас играет важную роль в консультировании государства относительно текущих угроз.
Имя эксперта мы раскрыть не можем — он готов был пообщаться только анонимно.
Эксперт хорошо знаком с ситуацией изнутри: как устроена кибербезопасность внутри бизнесов, госорганов, СБУ, Госспецсвязи. Какие есть уязвимые места, кто орудует «на той стороне» и почему взломать в Украине в принципе можно все.
Мы пробежались по основным вопросам, которые многих беспокоят.
Всю путаницу внесли недоговорки. Было несколько атак на базе разных уязвимостей (October CMS, supply chain, etc.). И в разной степени детализации они были известны разным игрокам. Кто-то сказал одно, кто-то — другое. А у общества не сложилась целостная картинка. Нет понимания ни того, кто за этим стоит, ни результатов. По части атак расследования продолжаются. И результаты никогда не будут опубликованы, и о них никогда никто не скажет.
О серьезных сложных APT атаках общество мало знало, и будет знать мало и в дальнейшем. Это знание ему не очень и нужно.
Что стоит знать: если будет грозить серьезная агрессия, ее предвестником будет накал такого рода вещей, для того, чтобы психологически повлиять на общество и парализовать некоторую деятельность.
Необязательно просто танками ехать — можно неделю посидеть в городе без света и канализации. И получишь эффект не меньший.
Подавляющее большинство сайтов отключили из-за необходимости проверки на наличие вредоносных вирусов. Здесь не стоит думать, будто все сайты, которые не работали, были взломаны. Многие с перепугу поотключали. Никому ж не хочется, чтоб у него на сайте дефейс появился.
Эта темная история. Оно до сих пор не работает. Банки сами говорят: мы вам выдаем страховку, но при этом вы ее в базах не ищите. Но в случае с МТСБУ я, например, сильно удивлюсь, если у них не было бэкапов. Потому что эти данные — это их бизнес. Потерять сам предмет своей деятельности — это жестяк. Поэтому я думаю, что у них все есть. Просто они решили воспользоваться ситуацией и пересмотреть свою защиту.
Если бы МТСБУ был объектом критической инфраструктуры, они были бы обязаны сообщить в органы, что их взломали и нанесли ущерб. Но судя по всему, никто никуда не обращался. И проводится только внутреннее расследование. И это дело частной структуры.
Заместитель секретаря СНБО Украины Сергей Демедюк говорил Reuters, что к атаке причастна хакерская группа UNC1151, ранее атаковавшая Литву, Латвию и Польшу. И эта информация действительно циркулировала в профессиональных кругах. Но она была изысканием, версией коммерческих исследователей, а не правоохранителей. Возможно, аналитики РНБО ее нагуглили в открытых отчетах, положили в папку Демедюку. А он сказал: «Ну вот, да, есть признаки».
Но в отчете CERT нет никакой привязки. Есть только технический анализ атаки. И это абсолютно нормальное явление. Этим и должен заниматься CERT.
Понятное дело, что те выдержки из «Дія», которые выложили, просто могли быть компиляцией каких-то данных в надежде попасть под волну пиара.
Хотя не исключено, что это информация от тестировщиков, которые где-то там хостили свои ресурсы. И они впоследствии были скомпрометированы. Один из недостатков, который вменяют разработчикам «Дії» — у них нет инфраструктуры, которая была бы защищена при разработке. Их критикуют, что все делают на коленке.
Есть еще одна версия в экспертных кругах:
Мы знаем, что принцип работы «Дiя» — брать или отправлять информацию реестров разных министерств и отображать её на портале и/или в мобильном приложении. То есть фактически вся информация, все данные граждан Украины хранятся в реестрах, а «Дiя» только изменяет их или отображает.
Но есть нюанс — для технологических нужд необходима промежуточная, временная база (буфер обмена, кэш), которая находится на стороне инфраструктуры портала «Дії», и там временно хранятся запросы и ответы из реестров (как буфер обмена при копировании информации на компьютере и в мобильном телефоне). Вот из этой промежуточной базы и могла произойти утечка. Как она могла произойти: удалённый взлом или инсайдерский слив — неизвестно, это можно узнать только после расследования.
Видна только вершина айсберга — временно положили сайты госорганов. Но это детский сад, вторая четверть.
Понятное дело, что это нельзя назвать взломом критической инфраструктуры.
У большинства структур уже есть бэкапы. И если информация стерта, они могут восстановиться. Хотя бывали случаи, что и бэкапов не было.
Те атаки, которые сейчас произошли, — они были пристрелочные. Тестовые. И я очень сомневаюсь, что более серьезных атак, таких как BlackEnergy на энергетическую инфраструктуру в 2015 году, когда хакеры отключали свет в Закарпатье, нельзя повторить сейчас.
Мы знаем несколько игроков, которые генерируют группировки пачками. Их можно исчислять десятками. Создают их силовые структуры: ГРУ, ФСБ и внешняя разведка.
В Российской Федерации произошло сращивание хакерских группировок на патриотической и взаимовыгодной основе. Это еще давно случилось. С тех пор как они на кардерстве начали зарабатывать деньги, органы через компроматы начали привлекать их к сотрудничеству.
Они понимают, что или будут сотрудничать, или сидеть в тюрьме.
В России тоже не все хорошо с защищенностью госухи. И если наши хакеры соберутся, чтобы дать им люлей, то, возможно, все у них получится.
Теоретически это возможно, но наше государство не ставит таких целей. У нас оборонная доктрина.
Наступательные силы мы не развиваем. И их невозможно наладить за короткий промежуток времени.
На самом деле более профессиональные спецы — это те, кто защищает, а не те, кто атакует. Тех, кого не ломают, и не видно. А если о них говорят, значит, они не такие уж и профессионалы.
Сейчас обсуждается проект о киберобороне и кибервойсках. И, возможно, эта тема получит развитие. Но в паблик этот вопрос вряд ли будет вынесен. Никто же в Фейсбуке не обсуждает, как развивать сухопутные войска.
Если рассуждать о том, что должно превалировать — киберзащита или нападение — то, конечно, первое. И мы сейчас делаем правильную ставку.
Защита гарантирует возможность атаковать. Если ты не защищен, но пытаешься атаковать, то твои действия контролируются противником изначально. И шансов достичь успеха мало.
Одна из уязвимостей последней атаки на государства (October CMS) появилась еще в мае. Но мало кто из госорганов удосужился ее пропатчить. В результате имеем, что имеем.
Почему?
Эффективность донесения индикаторов компрометации до сих пор под вопросом. В Госспецсвязи, СБУ уже давно работает MISP — Malware Information Sharing Platform. Это система, такой себе сервак, позволяет расшеривать технические данные об атаках между теми, кто подключен к платформе. В формате, который позволяют применять техсредства защищающегося.
У тебя стоит фаервол — ты можешь принимать блэклисты каких-то айтишников.
У тебя стоит Web Application Firewall — значит ты можешь забирать более тонкую информацию.
Данные в MISP попадают от общедоступных источников — Microsoft провел расследование об атаке. Кроме того, собираются данные, которые генерируют внутренние подразделения при расследовании киберинцидентов.
В СБУ загружались данные об инцидентах вместе с описаниями того, что произошло. И была система тегирования. Можно связывать события между собой по совокупности схожестей тактик и техник группировок.
Первыми на вооружение после атаки Petya/notPetya MISP поставили в СБУ. У них хоть и самый старый MISP, но далеко не все имеют к нему доступ. А если и подключены, то не все обновляют данные, и не все их вообще используют.
Если MISP Госспецсвязи открыт для всех объектов критической инфраструктуры, то MISP СБУ имеет ограничения. Некоторые объекты к ней подключены и не имеют права распространять инфу дальше. Там закрытая среда, так как они делятся не только открытой информацией, но и своей.
Почему так аккуратно? Не секрет, что контрразведка анализирует их собранные знания о себе. И меняет свою тактику, технику. Для того, чтобы та сторона не имела такой возможности, данные отдаются далеко не всем.
Все. К сожалению, после атаки Petya/notPetya в 2017 году уроки не были извлечены до конца.
27 июня 2017 года началась масштабная кибератака на украинские ПК. вирус-шифровальщик Petya.A шифровал данные, требуя выкуп в размере $300. Вирус проник через программу сдачи отчетности M.E.Doc, которой пользовались десятки тысяч бухгалтеров в Украине.
Уроки из Petya не извлекли те, кто могут пострадать и сейчас. Потому что на тот момент имеющиеся возможности и ресурсы позволяли получить данные только о верхушке — самой последней по времени части этой операции.
То есть, последовавшая картина позволяла пролить свет только на ее окончание. О ее середине свидетельствуют лишь немногочисленные следы. А о начале — вообще никакие.
На последнем этапе хакеры мимикрировали под ransomware — требовали выкуп у жертв за «расшифровку» их данных. Но на самом деле нужно было просто уничтожить следовую картину — и это был отвлекающий маневр.
В последней атаке от 13 января 2022 года, кстати, тоже был элемент имитации вируса-вымогателя. Этим она похожа на Petya.
Скорее всего, это была шпионская деятельность. Сбор разведывательной информации для того чтобы зачем-то получить набор данных от жертв Petya.
Задайте себе вопрос: зачем кому-то писать скрипт, а в его основу класть украинский код ЄДРПОУ и собирать информацию о них на каждом взломанном компе?
Все просто: чтобы сопоставить данные с компов с уже другими собранными данными, полученными из наших же публичный реестров, там где каждое предприятие указано с директором, адресом и всем остальным.
ЄДРПОУ — это был ключ.
Соединяем первое и второе и получаем принадлежность каждой взломанной машины к определенной компании или организации, например, тому же Минобороны, объектам критической инфраструктуры и так далее.
Когда такая объединенная база сформирована, ты можешь одним нажатием кнопочки узнать, а какие компьютеры взломаны, скажем в СБУ или предприятиях, которые к ней относятся.
У тебя есть карта, которую ты можешь передать хакерам для исполнения каких-то пакостей.
Если ты раньше не мог найти иголку в стоге сена, то теперь можешь ее легко обнаружить. Вот для чего нужна была атака Petya.
Открытые данные и решения на их основе, к которым мы сейчас привыкли, является вредным для нас в условиях войны. И это абсолютная норма в открытых гражданских обществах, которые за счет своих публичных данных наводят порядок в системе и сильно экономят на их обработке.
Открытые данные — это хорошо. Но при этом в нынешний период это достаточно серьезно поднимает уязвимость нас. Этим могут воспользоваться при тех раскладах, при которых бы никто не воспользовался раньше.
Хакеры, которые живут на территории той страны, понимают, что они в Украине могут ломать все что угодно. Так как не будет никаких совместных расследований правоохранителей в рамках международной правовой помощи, пока идет война.
Поэтому и такой всплеск активности.
В госсекторе наблюдается огромный перекос в сторону покупки чего-то дорогого — железа, софта. При этом скиллы сотрудников могут быть на очень низком уровне. И они попросту не смогут этим железом воспользоваться.
Уровень скиллов спецов в госIT остается низким, так как по зарплатам вряд ли выходит конкурировать с коммерческим сектором.
Чтобы довести зарплаты до уровня рынка, нужно увеличивать бюджет. А зачем же его увеличивать, если и так хорошо?
Мы до сих пор не поняли, что не вкладывать в людей — это губительно. Все купленное железо и софт превращается в груду металлолома.
По всем госструктурам примерно одинаковая сетка должностных окладов. И там, где у руководителей был стимул на нее повлиять, платят чуть больше. За счет надбавок и премий.
В СБУ получают в среднем в районе 30-40к грн. Слишком хорошие получают чуть больше. Но это единицы.
В Госспецсвязи сейчас подняли. У них уже или на уровне, или даже чуть больше. И опять же это касается единиц. Основной стафф по-прежнему имеет мало.
Военные считают, что их главное преимущество в разрезе кибератак — то, что данные не оцифрованы. И хранятся в картотеках. С другой стороны, хакерам эти картотеки и не нужны. Они могут получить о военных гораздо больше данных через бизнес, который их обслуживает. И который оцифрован. Например, какие поставки продовольствия происходят, когда и куда, в каком объеме. Имея такой фактаж под рукой, можно составить о военных гораздо более точную динамично меняющуюся картинку, чем та, что доступна нам изнутри.
