Украина проигрывает кибервойну. Хакеры наносят удар по Минфину
Организованная группа хакеров проникла во внутренние телекоммуникационные сети Министерства финансов, Государственной казначейской службы, Пенсионного фонда и вывела из строя ряд компьютеров, а также уничтожила критически важные базы данных, имеющие отношения к работе Госказначейства и Пенсионного фонда.
В результате 7 декабря 2016 года проведение обязательных платежей на сотни миллионов гривень Госказначейством и Пенсионным фондом были заблокированы. Платежи проходили с задержками или не проходили вовсе, не работали сайты Минфина и Госказначейства.
Специалисты в области кибербезопасности считают, что официальные лица Госказначейства и Пенсионного фонда замалчивают реальный масштаб последствий хакерского удара.
Почерк злоумышленников похож на прошлогодние атаки на облэнерго и аэропорт "Борисполь". На данный момент в зараженном состоянии могут находиться не только сети региональных подразделений Госказначейства, но и сетевая инфраструктура других критически важных объектов Украины.
Чтобы предотвратить или отразить будущие хакерские атаки, специалисты в сфере кибербезопасности призывают чиновников раскрыть больше подробностей о совершенном хакерами нападении.
Паника
6 декабря 2016 года сайты Минфина, Госказначейства, Пенсионного фонда перестали работать. Минфин на правительственном портале сообщил, что в результате атаки было повреждено сетевое оборудование. "Проводится оперативное восстановление систем, чтобы избежать возможных задержек с платежами", — говорилось в сообщении.
За ним последовала скупая новость Госказначейства: "6 декабря 2016 года была осуществлена кибер-атака на информационно-телекоммуникационную систему Казначейства".
На следующий день Минфин сообщил: "В результате профессиональной хакерской атаки на органы Министерства финансов Государственное казначейство имеет определенные проблемы с полноценным выполнением платежей".
Затем сотрудник госпредприятия "Национальные информационные системы", которое занимается сопровождением госреестров, написал в Facebook, что "вирус, уложивший казну, носит название killdisk. Файл вируса называется smss.exe в корне Windows (не путать с файлом в System32). Есть подтверждение, что отлавливается ESЕТ v.5 с базами от 06-07.12.2016. Также следует обращать внимание на "службу" Plug-and-Play (не путать с Plug and Play). Для удаления грузиться нужно только с LiveCD".
В тот же день Кабмин выделил Минфину и Госказначейству 80 млн грн на защиту от хакеров. В частности — 40 млн грн Минфину на закупку системы сохранения сетевого оборудования и системы резервного сохранения данных. Еще 40 млн грн — Госказначейству на обновление серверного оборудования территориальных органов и закупку оборудования для системы удаленного резервирования.
По мнению технического директора киевской лаборатории Zillya! Олега Сыча, столь быстрое выделение таких больших сумм на IT-оборудование может свидетельствовать о панике среди технических специалистов, которые поддерживают IT-инфраструктуру ведомств.
Технические специалисты наконец объяснили чиновникам, что им недостаточно серверов для резервного копирования, что существующее оборудование слабое или устаревшее. Это хороший знак. Обычно на закупку такого оборудования у госструктур уходят месяцы.
Вероятный способ взлома и последствия
"Эта атака — лишь вершина айсберга, — говорит Сыч. — Кибервирусные атаки на огромное количество учреждений, промышленных, энергетических, финансов и транспортных объектов проходят постоянно". Однако атака на Госказначейство и Пенсионный фонд выделяется тем, что она произошла спустя год после хакерского нападения на энергетическую инфраструктуру Украины. Сейчас мы наблюдаем последствия атаки на бюджетную сферу государства.
Уже установлено, что руткит BlackEnergy, который открыл доступ к внутренней сети энергокомпаний, попал на компьютеры за полгода до включения деструктивной функции. В ситуации с финансовыми госструктурами могла быть аналогичная ситуация. Злоумышленники выбрали удобный момент для нанесения удара: конец года, накануне новогодних праздников, когда начинается тяжелый процесс принятия госбюджета.
"Возможно, также взломаны и заражены сети других госучреждений, но эксплуатация этих взломов пока не своевременна для атакующей стороны. Впрочем, таких взломов может и не быть", — отмечает Сыч.
Если бы не выведенные из строя сайты Минфина и Госказначейства, информация об успешных атаках на внутреннюю сеть госструктур могла бы и не дойти до общества. Чиновники могли бы попытаться замолчать инцидент.
У хакеров же цель — подвергнуть свои успехи огласке. Взлом сайтов лучше всего подходят для этих целей, хотя сам по себе взлом сайта не несет никакой угрозы внутренней информационной инфраструктуре предприятия.
Технический директор киевской лаборатории Zillya! также сомневается, что хакерская атака привела к физическому выходу из строя оборудования. Об этом говорится в одном из сообщений Минфина. Скорее всего, речь идет о повреждении конфигурации сетевого оборудования, переконфигурировании элементов телекомсети, удалении данных.
"Если в организации используется сложное сетевое оборудование, и оно было сконфигурировано определенным образом без резервной копии, то после уничтожения конфигурации восстановить его быстро очень сложно. Часто никто не знает, как его надо настроить. Оборудование настраивается неделями, месяцами и даже годами", — объясняет Сыч.
Вопрос в другом: сохранились ли резервные копии конфигурации оборудования, серверов и баз данных. При их наличии информация восстанавливается достаточно быстро. Госказначейство восстанавливает свою деятельность, значит, резервные копии создаются.
Инструмент атаки
Согласно известной информации, данные на серверах и компьютерах внутренней сети, по крайней мере, Госказначейства, уничтожались троянской программой killdisk. Это популярная программа. У нее много разновидностей. Более того, она доступна в исходных кодах, поэтому злоумышленники всегда могут ее модифицировать до неузнаваемости, чтобы антивирусные программы эту программу не обнаружили.
Программа killdisk применялась в том числе при атаках с помощью BlackEnergy на энергокомпании Украины. Там была другая модификация killdisk. Этот троян уничтожает информацию методом перезаписывания, что делает невозможным ее восстановление.
"Применение killdisk мы видим как общий почерк. Эта программа популярна, ее применяют многие хакерские группировки, поэтому возможны два варианта. Для атаки на инфраструктуру Украины ее использует одна и та же группировка или кто-то использует почерк авторов атаки на энергокомпании, чтобы замести следы и выдать нынешнюю атаку за атаку той группировки", — говорит Сыч.
Говоря об исполнителях атаки на Минфин, Госказначейство и Пенсионный фонд, специалист предположил, что это была группа лиц с четкими целями. Эти цели не были финансовыми, была конкретная цель провести диверсию.
"Это не частная коммерческая группировка, задача которой — заработать деньги, — считает Сыч. — Это либо частная группировка, которой заплатили за нанесение имиджевого и финансового ущерба Украине, либо специализированное киберподразделение страны-агрессора. Цель атаки — поставить под сомнение стабильность страны".
По словам технического директора Zillya!, возможно, через несколько недель появится более подробная информация об алгоритме проведенной атаки. Тогда все специалисты смогут сделать определенные выводы. Если же информацию засекретят, это будет означать, что аналогичная атака на другие госструктуры может стать успешной.