Нова кібератака відбита. Чому хакери націлилися на банки і що було головною метою
Менше доби знадобилося Приватбанку, Ощадбанку, порталу "Дія", сайтам Міністерства оборони та Збройних сил для відбиття наймасштабнішої в історії України DDoS-атаки, яка почалася 15 лютого.
ЕП пояснює, як відбувалася атака, які були її цілі та чому американська Агенція з кібербезпеки та безпеки інфраструктури рекомендує бізнесу і державним установам США готуватися до російських кібератак.
Хронологія DDoS-атаки
Кібернапад на українську банківську систему почався вранці 15 лютого.
На мобільні номери клієнтів Приватбанку з польських номерів почали надходити смс, у яких містилося попередження про те, що в цей день через технічну несправність банкомати установи не працюватимуть.
Кіберполіція встановлює осіб, причетних до розсилання смс щодо збоїв у роботі банкоматів.
— Cyberpolice Ukraine (@CyberpoliceUA) February 15, 2022
Інформація про технічні несправності банкоматів, поширена через спам-розсилку, не відповідає дійсності.
Деталі: https://t.co/Nxe2hAhcc0 pic.twitter.com/HN7PWaHGxx
Згодом, о 15:00, почалася DDоS-атака на мобільні застосунки двох державних банків – "Приват24" та "Ощад24/7", а також на сайти Міноборони та Збройних сил України.
Обидва банківські застосунки не працювали кілька годин. Користувачі "Приват24" повідомляли про проблеми з платежами. Декому не вдавалося зайти в застосунок, в інших не показувалися баланс та останні транзакції.
Не працював і сайт Приватбанку. Увечері в установі заспокоїли: загрози для коштів вкладників немає.
У роботі Ощадбанку теж були збої, інтернет-банкінг не працював. Сайти Міноборони та Збройних сил були недоступні.
Сайти банків відновили роботу о 20:10.
За словами співзасновника monobank Олега Гороховського, DDоS-атака 15 лютого була направлена на майже всі українські банки, але з різною результативністю.
"Пробували атакувати Альфа-банк та А-банк. П'ять хвилин тому пішли масовані запити з вузла в Нідерландах. Якщо буде потужно штормити, будемо змушені тимчасово відключити "зовнішній світ" і залишити лише Україну", – написав Гороховський.
Того ж вечора DDоS-атаці піддалася система доменних імен (DNS) домену gov.ua, який призначений для розміщення сайтів органів державної влади. У домені налічується 4,7 тис імен (сайтів).
"Атака почалася 15 лютого о 20:21 і тривала понад п'ять годин. Її потужність перевищувала 150 Gbps (гігабіт за секунду – ЕП). Джерелом атаки були зарубіжні та українські IP-адреси.
Фахівці реєстру домену .UA компанії "Хостмайстер" ввели в роботу резервні сервери, що дозволило підтримати працездатність доменної системи.
Під час атаки фіксувалося підвищене навантаження на DNS-сервери, які забезпечують роботу доменів com.ua та org.ua", – повідомив 16 лютого адміністратор домену .UA ТОВ "Хостмайстер".
Сайти Міноборони та ЗСУ відновили роботу в першій половині дня 16 лютого.
"Офіційний портал Міністерства оборони України зазнав безпрецедентної DDoS-атаки, яка ще триває. Атаку спрямовано на максимальне завантаження серверних потужностей, на яких працює сайт.
Зловмисники, напевно, знали, що сайт захищений від класичних DDoS-атак, тому вдалися до пошуку вразливих місць у коді сайту... Це їм, на жаль, вдалося", – повідомили представники Міноборони.
DDoS-атаці 15 лютого піддався й портал державних послуг "Дія".
"Приблизно о 20:00 услід за банками потужна DDoS-атака почалася і на портал "Дія", що було очікувано", – повідомив міністр цифрової трансформації Михайло Федорів.
"Початковий вектор – Росія та Китай. Десь 600 тисяч пакетів шкідливого трафіку за секунду. Наші фахівці швидко "обрізали" цей напрямок. Атака повернулася з Чехії та Узбекистану і знову була відбита. Для користувачів "Дії" атака залишилася непомітною", – додав він.
Що таке DDoS-атака
DDoS-атака – це напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними для користувачів.
Найпоширенішим методом нападу є насичення атакованого комп'ютера або мережевого устаткування великою кількістю зовнішніх запитів, через що атаковане устаткування не може відповісти користувачам або відповідає дуже повільно.
DDoS-атаки – розповсюджений інструмент брудної конкуренції серед власників інтернет-магазинів, онлайн-казино, великих компаній, прибуток яких пов'язаний з наданням онлайн-послуг.
Такі напади популярні, бо дозволяють вивести з ладу будь-яку погано написану систему і при цьому не залишити доказів атаки.
Попри великий інформаційний резонанс, нічого екстраординарного в DDoS-атаці 15 лютого немає, переконує експерт у сфері кібербезпеки Андрій Баранович.
Організація такого нападу на "чорному" ринку може коштувати лише кілька тисяч доларів.
"Ми можемо підтвердити DDоS-атаки, але не бачимо жодних ознак того, що їх вплив критичний… Ця діяльність може полягати в тому, щоб зберегти відчуття тиску на Україну в умовах більш позитивних новин за останній день", – пише журналіст у сфері кібербезпеки Кім Зеттер.
Після відновлення систем начальник департаменту кібербезпеки СБУ Ілля Вітюк та Михайло Федоров оцінили вартість здійсненої атаки "мільйонами доларів".
Цілі DDоS-атаки
На думку Барановича, напад 15 лютого є продовженням кібератаки, яка сталася 14 січня. Мета зловмисників полягала в провокуванні паніки серед населення України щодо стійкості банківської системи.
"Якби вдалося надовго "повалити" банківські сервіси з одночасною розсилкою панічних смс про те, що банкомати не працюють, це могло викликати занепокоєння.
Але в Україні навіть у державному секторі місткість інтернет-каналів досить велика. Через це повалити й вимкнути все просто неможливо, тому вважати таку атаку успішною навряд чи можна", – каже експерт.
Схожої думки дотримуються і західні експерти у сфері кібербезпеки.
У коментарі NBC News Джон Халтквіст, віцепрезидент компанії Mandiant, яка спеціалізується на кібербезпеці, сказав, що смс-спам та DDoS-атаки можуть бути скоординованою інформаційною операцією, яка мала б призвести до втрати віри українців у свої фінансові установи.
"Ми не знаємо всіх деталей кампанії, але обидва інциденти (разом з кібератакою 14 січня – ЕП) можуть бути єдиним задумом, мета якого – поставити під сумнів безпеку фінансової системи країни", – сказав Халтквіст.
Між тим, як повідомляє The Washington Post, недавно розсекречені розвідувальні дані західних спецслужб свідчать, що російські урядові хакери, швидше за все, уже зламали критично важливу українську інфраструктуру і в разі вторгнення запустять набагато шкідливіші атаки.
Журналіст видання посилається на чиновника з розвідки США. Той стверджує, що на початку вторгнення Росія за допомогою кібератаки може припинити роботу систем електропостачання, транспорту, фінансів і телекомунікацій.
Така кібератака може бути втілена або для підтримки військової операції, або для створення відчуття паніки, яке дестабілізує ситуацію в Україні.
Що із стратегією кібербезпеки?
За словами Барановича, ніхто не може бути застрахований від зламів і DDoS-атак, але це не означає, що не потрібно нічого робити.
"Зараз непогано працює національний кіберцентр при РНБО, Держспецзв'язку. Але стратегія національної кібербезпеки, ухвалена президентом Зеленським, нагадує не стратегію, а клаптикову ковдру. Цілісного інституційного підходу до організації національної кібербезпеки немає. Це те, що потрібно змінювати", – зазначає експерт.
Західні ЗМІ ретельно відстежують усі кібератаки в Україні. Спецслужби США аналізують кожен інцидент.
На підставі цього аналізу американське Агентство кібербезпеки та безпеки інфраструктури (CISA) створило для бізнесу і державних структур "чек-лист", де детально описуються заходи готовності, які потрібно вжити для зменшення ймовірності успішної російської кібератаки.
Начальник департаменту кібербезпеки СБУ Ілля Вітюк
— Про конкретних виконавців атаки говорити рано. Це доволі тяжка робота, на цьому шляху багато технічних переломів.
Вартість такої атаки – мільйони доларів. Не може окремий хакер чи група хакерів дозволити собі витратити такі кошти, щоб потім не отримати ніякого матеріального зиску.
Такі атаки завжди проводять держави через свої спецслужби або підконтрольні чи створені ними хакерські злочинні об'єднання. Для таких атак створюється інфраструктура. Купити таку атаку на "чорному" ринку неможливо.
Ми чітко бачимо слід іноземних спецслужб. Є окремі ознаки схожості з атаками 13-14 січня 2022 року. Методика і спосіб цих атак інші, але ми можемо попередньо сказати, що ці атаки пов’язані.
Єдиною країною, яка зацікавлена в таких іміджевих ударах по нашій державі, є Російська Федерація, але це буде встановлено в рамках відповідного розслідування.
Міністр цифрової трансформації Михайло Федоров
— 15 лютого була здійснена найбільша в історії України DDoS-атака на урядові сайти, на банківський сектор. Ця атака безпрецедентна. Зрозуміло, що вона готувалася заздалегідь. Ключові мета і ціль – дестабілізація ситуації в країні.
Усі органи, які відповідають за кібербезпеку, відреагували дуже швидко. Банківська система дуже швидко відновилася, усі банківські сайти були відновлені дуже швидко.
Вартість такої атаки сягає мільйонів доларів. Вектор атак був з різних країн, але ми були до цього готові.
Заступник cекретаря РНБО Сергій Демедюк
— Цю DDoS-атаку ми класифікуємо як інформаційно-психологічну атаку. Не як деструктивну, яка пошкодила інфраструктуру, а як таку, яка здійснювалася для психологічного впливу на населення.