Весь світ починає звикати до новин про «діяльність» російських хакерів. Так, днями банківська система та критична інфраструктура Німеччини зазнали масштабної кібератаки з Росії. Непоодинокі подібні втручання фіксували й інші держави. Також діяльність хакерів країни агресора поширюється й на Україну. Неодноразово українські спецслужби фіксували такі втручання в роботу наших державних органів і не тільки. Скільки кібератак з боку РФ зазнала Україна 2020 року і як вони виглядають, розповів Mind керівник Державного центру кіберзахисту Держспецзв'язку Андрій Кузміч.
Державний центр кіберзахисту вживає заходів щодо посилення спроможності CERT-UA у напрямі Threat Intelligence. Однім із завдань центру є атрибуція сукупності технічних методів і організаційних заходів для визначення, хто стоїть за кібератакою. Під час розслідування інцидентів CERT-UA активно взаємодіє з нашими міжнародними партнерами та використовує їхній досвід.
Ми можемо стверджувати, що 2020 року було зафіксовано 261 кібератаку на державні органи України, які за технікою реалізації можна пов’язати з РФ. А тільки за перші чотири місяці з початку 2021 року таких кібератак зафіксовано вже 178.
Отже, ми можемо констатувати, що активність угруповань, яких пов’язують із РФ, спрямована на заподіяння шкоди суб’єктам кіберзахисту значно підвищилася в порівнянні з минулими роками.
Збільшення кібератак, які вже зафіксували цього року, безпосередньо пов’язане з посиленням застосування Росією елементів гібридної війни.
Всі відомі міжнародній кіберспільноті хакерські групи з РФ (Gamaredon, APT28, SandSworm та інші) пов'язують саме з військовими організаціями Росії. І саме ці організації провадять кібератаки на суб’єктів кібербезпеки України.
З початку 2021 року російська сторона здійснює атаки переважно на державні органи України. Але, якщо проаналізувати весь період російської агресії, то можна виділити найрезонансніші кібератаки на ЦВК під час президентських виборів 2014 року, на енергетичний сектор України Black Energy, на фінансову систему України 2016 року, на державні органи та комерційні підприємства України 2017 року з використанням вірусу шифрувальника Petya та інші.
Тож російська сторона ставить на меті своїх кібератак, у сукупності з інформаційною війною, завдання значної шкоди державному устрою України та її економіці.
Основні кібератаки, які проводить РФ, пов’язані з:
Розсилка фішингових листів на велику кількість електронних поштових скриньок працівників різних державних організацій – це найпопулярніший вид кібератаки.
Це найпростіший та найбільш дієвий спосіб заразити комп’ютер жертви вірусом та далі з нього просуватися інформаційною мережею організації.
Зазвичай ці листи складаються так, щоб змусити жертву відкрити вкладення з вірусом або завантажити його за посиланням. Протягом останніх місяців для створення таких фішингових листів активно експлуатуються теми військового конфлікту з РФ, COVID-19 або листування між державними органами України.
Також часто підроблюють адреси відправників, начебто вони відправляються від державних органів України (наприклад, від суду).
Ми виявляємо багато випадків, коли для таких фішингових розсилок використовуються скомпрометовані поштові скриньки.
У 2021 році майже кожен тиждень відбуваються нові масштабні фішингові розсилки по державних органах України. Чому ці кібератаки можна віднести саме до РФ? Бо вони використовують схожі інструменти для їхнього проведення.
Наприклад, одним із типів ШПЗ, по якому одразу можливо визначити, що це РФ, є віруси Pterodo хакерського угруповання Gamaredon. Його міжнародна спільнота пов’язує з урядом РФ. Вони навіть не ховають свої командно-контрольні сервери (з яких працюють із зараженими комп’ютерами жертв) по інших країнах, все знаходиться у РФ, і часто це саме Санкт-Петербург.
Крім Pterodo, існує ще велика кількість технік, інструментів та ШПЗ, яке використовується саме хакерськими групами, яких міжнародна кіберспільнота пов’язує з РФ.
Наприклад, хакери створюють фішингову сторінку поштового клієнта організації і розсилають листи по всім відомим поштовим скринькам організації начебто від імені адміністраторів (з підміненим ім’ям відправника), що потрібно негайно змінити пароль і посилання на фішинговий сайт.
Якщо працівник переходить на фішинговий сайт і вводить пароль до своєї поштової скриньки, хакери отримують доступ до електронної скриньки працівника організації, до всього листування (а часто листування містить конфіденційні дані) і можуть використати отриману інформацію та поштову скриньку для проведення подальших кібератак.
Наприклад, за допомогою вразливостей сайту хакери можуть отримати доступ до його сервера й далі за допомогою цього отримати доступ до інших частин інформаційної мережі організації
Постійно з’являються нові критичні вразливості, які такі країни, як РФ, активно експлуатують.
До прикладу, критичні вразливості в Microsoft Exchange (ProxyLogon), про які стало відомо цього року. Коли хакери могли за допомогою спеціально сформованих запитів на будь-яку поштову скриньку користувача отримата повний доступ до сервера Microsoft Exchange з усіма негативними наслідками для організації.
На жаль, CERT-UA виявив багато державних організацій, що постраждали від ProxyLogon.
Попри те, що Держспецзв'язку разом з іншими суб'єктами кібербезпеки України, кожен у своїй сфері, працюють над підвищенням спроможності до захисту цих дій недостатньо для досягнення успіху країни загалом.
Основним методом запобігання зараженню вірусами є кібергігієна та цифрова грамотність населення України. Адже 99% заражень відбувається через те, що користувач сам запустив файл із вірусом, який було вкладено у фішингове повідомлення. 99% зламів відбувається через те, що адміністратори інформаційних мереж не вчасно оновлюють програмне забезпечення.
Держспецзв'язку працює над підвищенням рівня обізнаності в кібергігієні для державних службовців і вдосконаленням спроможності для кіберзахисту на об'єктах критичної інформаційної інфраструктури. Але для загального успіху України необхідне, щоб усі громадяни відповідально ставилися до питань кібербезпеки.