Кібератака на МЗС Австрії: «отруйні ведмеді» Росії?

Федеральне відомство вже три тижні потерпає від найбільшого хакерського нападу в історії Австрії

Наступного дня після представлення в Австрії нового коаліційного уряду та його програми країна зазнала потужного кіберудару – ІТ-спеціалісти МЗС 3 січня виявили хакерське проникнення у комп’ютерну мережу відомства. Як виявилося майже одразу – атака має безпрецедентний характер, ні з чим подібним республіка ще не стикалася.

Незважаючи на залучення кращих кіберфахівців країни, у тому числі з армії, бої у віртуальній сфері на Мінорітенплатц, де знаходиться будівля зовнішньополітичного відомства у Відні, тривають уже три тижні. І швидкого їх завершення не прогнозується.

З огляду на масштаб, складність та професійність кібератаки, австрійська влада відразу заявила, що за нею стоїть "державний суб’єкт". Хоча далі – жодних офіційних деталей щодо триваючої атаки та сторони, яка її здійснює. Натомість ЗМІ й експерти пішли далі: за кібернападом на Австрію стоїть Росія, а точніше – контрольовані її спецслужбами хакерські угрупування.

РЕКОНСТРУКЦІЯ ПОДІЙ

Хакери обрали для атаки час святкових відпусток та зміни уряду – днем раніше було повідомлено про формування коаліційного уряду між "Австрійською народною партією" (ÖVP) та "Зеленими". Александер Шалленберг добував свої останні дні на посаді глави МЗС перехідного уряду та готувався скласти присягу вже як міністр нового кабміну Себастіана Курца, довіреною особою якого він вважається.

Ще півроку тому МЗС у попередньому коаліційному уряді Курца належало до квоти правопопулістської та проросійської "Австрійської партії свободи" (FPÖ) і очолювалося добре відомою своїм весільним танцем із Путіним Карін Кнайссль. Цілком можливо, що відомство й залишилося б за правими популістами-симпатиками Кремля, якби Курц пішов на відновлення коаліції ÖVP-FPÖ після дострокових виборів 29 вересня. Однак, низький результат підтримки виборців позбавив Партію свободи шансу повернутися до співкерування країною.

Фото: APA/ROLAND SCHLAGER/APA-POOL

Згідно з повідомленнями австрійської газети Die Presse, ІТ-фахівці федерального міністерства європейських, інтеграційних та закордонних справ, виявивши хакерське втручання у п’ятницю, 3 січня, та побачивши його масштаби, відразу забили тривогу. Вже після обіду в напівпорожній будівлі на кризове засідання зібралося керівництво міністерства. І тоді зазвучали слова про "закон про безпеку мереж та інформаційних систем" – правовий документ, що визначає основи для міжвідомчої співпраці та забезпечення кібербезпеки в Австрії.

Наступного дня, 4 січня, у розташованому по сусідству міністерстві внутрішніх справ засідав координаційний комітет за участю представників, направлених від усіх дотичних відомств – МВС, головної поліцейсько-розвідувальної спецслужби BVT, МЗС, федеральної канцелярії та міністерства оборони, яке має свою контррозвідку. Учасники зустрічі швидко зрозуміли, що кібернапад здійснено професіоналами, які впровадили шкідливе програмне забезпечення в комп’ютерну систему МЗС. Ціль – доступ до інформації в базах даних зовнішньополітичного відомства.

Приховати від громадськості кібернапад не було можливим з огляду на існуючу правову норму про захист персональних даних, які могли стати доступними нападникам. Тож пізно ввечері 4 січня всім співробітникам МЗС було надіслано лист, в якому повідомлялося про кібернапад на внутрішню комп’ютерну мережу міністерства, який може зачепити їхні персональні дані. Годиною пізніше у спільній заяві МЗС і МВС було поінформовано й громадськість.

"ДЕРЖАВНИЙ СУБ’ЄКТ"

У заяві для преси зазначалося, що ІТ-система МЗС Австрії стала об’єктом "серйозної кібератаки". Проблема була "дуже швидко виявлена". Вжито контрзаходи, створено координаційний комітет, залучені всі відповідні федеральні відомства.

"З огляду на складність та характер нападу, не можна виключати, що мова йде про цілеспрямовану атаку з боку державного суб’єкта. У минулому деякі європейські країни вже ставали об’єктом схожих атак", – йшлося у спільному коментарі МЗС та МВС.

Владі нейтральної Австрії загалом властива обережність у висловлюваннях, спрямованих "на закордон". Вона все добре зважує, намагаючись "нікого не образити". То ж це швидке визнання, що проти республіки здійснює атаку інша держава з відомими "почерком", було дещо нехарактерним для офіційного Відня.

Можливим поясненням цього могло б бути те, що таким чином австрійці хотіли донести своє "зашифроване послання" стороні, що атакує: "Ми знаємо, хто це. Припиніть!" (бо не можемо зупинити).

Якщо це й так, то послання Відня не змогли (а точніше не стали) "декодувати" на іншій стороні – всупереч публічному виявленню, атака не припинилася, у запеклих "кіберсутичках" австрійська сторона продовжила "нести втрати".

СХОЖІ АТАКИ

Потужні кібератаки на МЗС та інші державні структури європейських країн у минулому справді не є чимось новим.

Весною 2016 року мала місце масована хакерська атака на зовнішньополітичне відомство Італії. Причому тривала вона близько 4 місяців до того, як була виявлена. Зловмисникам вдалося отримати доступ до системи електронного листування між МЗС та дипломатичними установами Італії за кордоном. Обізнані з атакою особи тоді заявляли, що за нею, швидше за все, стоїть Росія.

У тому ж 2016 році двох потужних кібератак зазнало і МЗС Чехії. Перша атака, у ході якої хакери змогли отримати доступ до поштових скриньок 150 співробітників, відбулася на початку року, друга – наприкінці 2016 року і була виявлена вже у наступному році. Чеська контррозвідка згодом заявила, що за цими атаками, ймовірно не пов’язаними одна з одною, стоять два російські хакерські угрупування, які відносяться до типу АРТ (advanced persistent threat) – Turla (Venomous Bear), пов’язане з ФСБ, та APT28 (Fancy Bear), афілійоване з російською воєнною розвідкою ГРУ.

Ряд потужних хакерських атак було здійснено в останні роки й на урядові цілі в Німеччині. У грудні 2017 року німецька контррозвідка отримала інформацію від дружньої спецслужби, що в особливу, захищену ІТ-інфраструктуру федеральних відомств здійснено хакерське проникнення. Як було з'ясовано пізніше, основною ціллю було МЗС Німеччини, де хакери викрали, зокрема, документи по Росії. За повідомленнями ЗМІ, хакери "порпалися" на серверах урядових структур майже рік, а на ліквідацію кібернападу пішли місяці. Спочатку підозра впала на російське угрупування АРТ28, однак пізніше німецька сторона заявила, що атаку було здійснено групою Turla.

Раніше, у травні 2015 року, було виявлено масштабну атаку на внутрішню мережу Бундестагу. Тоді зловмисники отримали доступ до 14 серверів, серед яких був і головний сервер з усіма даними для доступу до внутрішньої мережі парламенту. В організації нападу підозрювалися росіяни: за одними даними – APT28, за іншими – Turla. Залученим до розслідування спеціалістам вдалося прочитати вихідний код, який використовувався при атаці на Бундестаг. Він був схожий на той, що використовували при хакерському нападі у 2014 році на німецьку мережу передачі даних, і був, знову ж таки, російського походження.

АВСТРІЙСЬКІ ЗМІ:СЛІД ВЕДЕ В РОСІЮ

Заява австрійської влади про атаку з боку "державного суб’єкта" та "схожі кібератаки" в інших європейських країнах (а за всіма подібними стояла Росія) легко підштовхувала до думки, хто саме стоїть за нинішньою кібератакою на МЗС Австрії. І національні ЗМІ майже одразу почали про це писати.

Уже через три дні після публічного інформування про атаку, 7 січня, найбільша щоденна австрійська газета Die Kronen Zeitung повідомила про можливу причетність Росії до кібернападу. У день приведення нового уряду Курца до присяги центральну шпальту видання була присвячено не цій темі, а російському сліду в кібератаці. "Шпигунська атака: слід веде в Москву", йшлося в заголовку великими літерами.

Ця публікація викликала гнів російського посла в Австрії Дмитра Любінського, який назвав матеріал "прикладом поширення фейкових новин", заявивши про очікування на спростування новини. Проте, поки російський дипломат чекав якихось спростувань, в австрійських медіа почали з’являтися нові публікації про те, що слід кібератаки на МЗС веде в Москву, до підтримуваних російською державою/спецслужбами хакерів.

Як повідомила у своїй статті від 14 січня впливова Die Presse, незважаючи на мовчанку представників австрійського зовнішньополітичного відомства щодо атакуючої сторони, як всередині кола причетних до ліквідації нападу осіб, так і поза ним, "підозри швидко впали на Росію".

"Як стверджується, хакери залишили почерк, подібний до нападу на німецький Бундестаг на початку 2015 року", – зазначав автор статті під заголовком "Кібератака на МЗС: Чому підозра падає на Москву".

Вказувалося, що за атакою на німецький парламент тоді могло стояти пов’язане з російською воєнною розвідкою ATP-угрупування Fancy Bear ("модний ведмідь” – з англ.), яке також має назви Sofacy, Pawn Storm та Sednit. При цьому, в австрійському МЗС на прохання видання прокоментувати матеріал Die Kronen Zeitung про російський слід "не дали ні підтвердження, ні заперечення", вказавши на те, що розслідування триває.

Згідно з публікацією Die Presse, раніше хакери вже проникали в комп’ютерну систему посольства Австрії у Києві, також неодноразово об’єктом атаки хакерів ставали топ-дипломати у Відні. Видання вважає, що до завершення розслідування кібератаки на МЗС може пройти багато часу, а в схожих випадках у європейських країнах "це тривало із шість місяців". Під питанням залишається й те, чи не сховає Австрія "під килим" інцидент з російською кібератакою з дипломатичних міркувань.

Можливий російський слід хакерського нападу на МЗС обговорили 16 січня і в ефірі австрійської суспільної радіостанції "Ö1" з експертом міжнародного виробника антивірусного програмного забезпечення ESET Томасом Улеманом. Він також вказав на Росію, як найбільш імовірне джерело атаки. Однак, на переконання експерта, судячи по "почерку", напад, швидше за все, здійснило не Fancy Bear, а інше російське хакерське угрупування – Turla.

Матеріал із заголовком "Кібератака: Слід веде в Москву" 18 січня вийшов і в популярній бульварній газеті Österreich. Як зазначало видання, хоча представники австрійської влади офіційно не говорять про це, але неофіційно у нападі підозрюється саме "російські хакерські кола". Згідно з матеріалом, шкідлива програма була схована в програмне забезпечення МЗС, а персональні дані співробітників відомства могли бути відразу вкрадені. Зазначалося, що основна підозра впала на дві російські хакерські групи – Fancy Bear, яка, як вважається, пов'язана з ГРУ, та Turla, яка підпорядковується ФСБ.

Із посиланням на "представників у безпекових колах" припускалося, що нинішня хакерська атака може "дуже сильно нашкодити Австрії", адже хакери зараз "читають все": переглядають листування Відня з Брюсселем та дипустановами за кордоном, шукають можливі зміни в урядовому курсі та ін.

При цьому, співрозмовники газети не виключили зв'язок нинішнього нападу з серйозною кібератакою на сервери "Австрійської народної партії" влітку 2019 року. Тоді, за місяць до дострокових парламентських виборів, мала місце спроба дискредитації партії Курца шляхом маніпуляції з викраденими даними. І деякі ЗМІ не виключали російський слід. Одним із вигодоотримувачів падіння рейтингу ÖVP була б правопопулістська та проросійська Партія свободи, яка працює у схожому електоральному полі й популярність якої через скандали значно просіла.

"ТОПІНАМБУР" ВІД "ОТРУЙНОГО МЕДВЕДЯ"

Детальний аналіз атаки з інсайдерською інформацією та професійними поясненнями опублікував 19 січня австрійський суспільний телерадіомовник ORF. Базуючись на отриманих даних, журналіст та ІТ-експерт Еріх Мохель робить висновок: напад – із Росії, атакує Turla.

"Загальний хід кібернападу, як і обрана для атаки ціль високого рівня, є характерним для групи Turla, яка відома своєю агресивною "зовнішньою розвідкою". Після виявлення Turla завжди вступає в жорсткі кібербої з технарями атакованих мереж. Зараз це якраз все ще відбувається у міністерстві закордонних справ республіки", – йдеться у матеріалі екс-редактора спеціалізованого австрійського сайту "Futurezone".

За словами експерта, велика ймовірність того, що Turla використала у ході атаки на комп’ютерну мережу МЗС Австрії свій новий "суто шпигунський інструмент", розроблений торік – Topinambour. Використання цього "Топінамбура" та пов’язаних із ним нових модулів ускладнило як саме виявлення атаки, так і протистояння їй.

Автор нагадує, що влітку 2019 року "Лабораторія Касперського" опублікувала аналіз, присвячений появі "Топінамбура" в арсеналі Turla, також відомої як Venomous Bear ("Отруйний ведмідь"), Waterbug та Uroboros. Сам по собі "Топінамбур" є NET-модулем, що використовується на початкових стадіях атаки та призначений для завантаження вже відомого "троянця" цього угрупування KopiLuwak, написаного на JavaScript, та його нових аналогів, розроблених на базі PowerShell та .NET.

Для доставки цього інструментарію жертві використовуються нешкідливі програми, як наприклад, засоби обходу інтернет-цензури чи програми для активації Microsoft Office, з додаванням в них мініатюрного шкідливого ПЗ, яке потім "підтягує" свої модулі.

Таким чином, "Турлі" вдалося створити "безфайловий" ланцюжок атакуючих модулів на комп'ютері жертви, що складається лише з кількох значень у системному реєстрі Windows, у яких зашифровано інструмент віддаленого адміністрування. Останній робить усе, що звикли очікувати від типового "троянця": завантажує, викачує і виконує файли, а також знімає "відбитки пальців" цільової системи. PowerShell-версія цього "троянця" також дає змогу робити знімки екрану.

Згідно з аналізом, створення "Турлою" цього шкідливого ПЗ із практично однаковими функціями, але різними мовами програмування дуже сильно ускладнило виявлення хакерського проникнення: після того, як на комп’ютері жертви було помічену одну з версій KopiLuwak, запускається аналог "троянця" іншою мовою. Крім того, ризики виявлення зводяться до мінімуму завдяки використанню системного реєстру Windows для зберігання зашифрованих даних, які потім експлуатуються шкідливим ПЗ. І на додачу: вся ця шпигунська ІТ-інфраструктура практично не залишає слідів – єдиним файловим доказом на комп'ютері жертви залишається крихітний стартовий додаток.

Як зазначає Еріх Мохель, відразу після виявлення хакерського втручання два тижні тому ІТ-спеціалісти МЗС намагалися встановити файєрволи між різним підрозділами для фільтрації внутрішнього трафіку та ідентифікації інфікованих файлів. Однак, зробити це надзвичайно складно. Ця "безфайлова" атака, як її називають технарі, дає змогу "Отруйному ведмедю" реагувати на контрзаходи, які вживають захисники: щойно ІТ-спеціалісти очистили мережевий сегмент, "як прилітають нові рядки Windows із оновленнями Turla, які знову все руйнують". При цьому, просто "відімкнути" величезну ІТ-мережу МЗС неможливо, оскільки вона забезпечує безперебійне функціонування більше 100 посольств та представництв по всьому світу.

Як нагадує експерт, австрійські кіберфахівці зараз перебувають у тій же ситуації, що й були їхні колеги з німецького Бундестагу в 2015 році, коли неможливо остаточно видалити укорінене шкідливе програмне забезпечення. Після тієї атаки у мережі німецького Бундестагу довелося замінити 20 тисяч комп’ютерів, оскільки не було гарантії, що частина шкідливого ПЗ не залишилася на флеш-пам’яті обладнання.

СКАЗАВШИ "А", З "Б" ВІДЕНЬ НЕ ПОСПІШАЄ

Після першої спільної заяви МЗС і МВС Австрії про "державного суб’єкта" зі схожим "почерком" кібернападів у європейських країнах, та з огляду на продовження атаки, здавалося, що офіційна австрійська влада піде далі й назве конкретно країну-нападника (читай – Росію). Тим більше, в австрійських медіа про російський слід уже говорять як про доконаний факт.

Зрозуміло, що у такого роду хакерських нападах складно швидко та достовірно встановити походження. Але й навіть про варіант російського втручання офіційно Відень не говорить – слово "Росія" є таким собі табу в заявах австрійських можновладців по темі. Речник МЗС Петер Гушельбауер – лише те й діло, що повторює в коментарях журналістам, що атака триває, активно вживаються контрзаходи, деталі не розкриваються з "тактичних" причин, а заявляти про атакуючу сторону поки що рано.

Через кілька днів після виявлення кібератаки федеральний канцлер Себастіан Курц в інтерв’ю газеті Der Standard не захотів говорити, чи слід її розглядати як "недружній акт проти його уряду", вказавши лише, що "немає абсолютної безпеки", а кібератаки стають все частішим явищем в усьому світі. Може розглядається можливість якогось кіберудару у відповідь, адже армійські специ до такого готувалися? Ні, удар у відповідь не є ціллю, треба встановити – хто стоїть за атакою, "з тим, щоб ми та наші європейські партнери такі напади могли краще відбивати", відповів Курц.

Але ж ситуація така, як ніби спецназ іноземної країни висадився біля будівлі австрійського МЗС на Мінорітенплатц у центрі Відні та веде вогонь по міністерству, хіба ж можна просто сказати: "Ми намагаємося встановити, хто це такий?" – не заспокоювався журналіст. Ні, це не одне й те ж, але інцидент справді є "нетривіальним", а це – "сучасна форма атаки й її слід розглядати саме як таку", парирував Курц.

Нова міністерка оборони Клаудіа Таннер у коментарі ЗМІ зазначила, що кібернапад на МЗС є "безпрецедентним" – у таких масштабах хакерської атаки на державний об’єкт ще було. Саме цим і обумовлено, що вперше кіберспеціалісти федеральної армії допомагають МВС "прояснити ситуацію та ліквідувати цю величезну кібератаку". За її словами, щодо сторони, яка здійснює атаку, то поки що про це "зарано говорити".

Очікувалося, що дещо проллє світло міністр закордонних справ Шалленберг, якого разом із керівником МВС у середу запросили до Національної ради (нижня палата парламенту) для роз’яснення ситуації з кібернападом. Однак, чогось нового від міністра не прозвучало: кібератака триває, як і цілодобові контрзаходи (у тому числі з допомогою від деяких європейських країн), витоку інформації нібито не було, система надання консульських послуг відомства не постраждала. При цьому, очільник МЗС заявив, що мова йде про потужну та цілеспрямовану атаку проти зовнішньополітичного відомства республіки "з метою отримання інформації". Але хто за нею стоїть, то на погляд Шалленберга, "ще недостатньо доказів, щоб без сумнівів заявити".

І якщо міністра закордонних справ ще можна зрозуміти, коли він не говорив у своїй промові про можливу атакуючу сторону (опустивши навіть згадку про "державний суб’єкт"), то реакція австрійських депутатів дещо здивувала. Можливий російський слід у кібератаці, про який трублять провідні австрійські ЗМІ, не був згаданий жодним із виступаючих по темі членів Національної ради – як від правлячої коаліції (партії Курца та "Зелених"), так і від обох найбільших опозиційних сил (соціал-демократів та Партії свободи). Лише в невеличкій ліберальній партії NEOS нагадали: експерти ж вказують на Росію, що це взагалі – напад на Європу?

ЩОСЬ ЗАСМУТИЛО РОСІЮ?

Як зазначає австрійський ІТ-експерт Еріх Мохель, незалежно від того, як довго Turla знаходиться в сплячому режимі в цільовій мережі, вона атакує через якийсь привід: "Ці ведмеді стають активними, як тільки Москві треба щось дізнатися про зовнішню політику". Для прикладу, він вказує на те, що у випадках з атаками на урядові цілі в Німеччині вони відбувалися тоді, коли "політичне протистояння між кранами НАТО та Росією через конфлікт в Україні сягали апогею і йшла мова про нові санкції".

Припускається, що кібератака на австрійське МЗС пов’язана зі зміною уряду в країні та можливим поворотом в австрійській зовнішній політиці: проросійського курсу – як було при колишній главі МЗС Карін Кнайссль – уже не буде точно, але й самі австрійські політичні оглядачі гадають, як поводитиме себе Австрія: суворий нейтралітет чи все ж – трохи дрейф у бік НАТО.

Водночас, кібератаки Turla завжди "пов’язані з політичними процесами" і несуть певний меседж – адже нападники точно знали, що рано чи пізно втручання буде виявлено і нахабна атака на добре захищену мережу не може довго залишатися непоміченою.

З огляду на це, експерт висловлює припущення: "Австрія, напевно, зробила протягом останніх місяців певний крок на дипломатичному та глобальному політичному рівні, який Росії дуже не сподобався".

*  *  *

Розслідування кібернападу на МЗС Австрії, як і в інших схожих випадках, може затягнутися на місяці. То ж швидких результатів очікувати не слід. Та й під питанням – чи будуть знайдені юридично бездоганні докази причетності росіян до атаки, хоча й всі розумітимуть, що саме Москва стоїть за кібернападом.

Між тим, австрійці на власні очі побачили один із вимірів російської гібридної агресії, яку вона застосовує роками проти України та й Європи загалом. Так би мовити, отримали нагоду зрозуміти російське "ихтамнет": "А хто сказав, що це ми? А доведіть! Таку атаку можна в будь-якому комп’ютерному клубі замовити".

Потужними атаками останніх років на європейські, й не тільки, урядові цілі Росія чітко демонструє, що протистояння все більше переміщується у віртуальний простір – туди, де ще легше, аніж у територіальних військових операціях, заперечувати свою участь. І подібні кібератаки з боку неназваного "державного суб’єкта" активно продовжуватимуться, допоки не будуть зупинені спільною європейською позицією – кіберударом у відповідь чи ж кіберсанкціями.

Василь Короткий, Відень