Кібервійна: два дні в Україні

Хакери - головна загроза антикорупційним реформам, заявив Мінфін. І уже випросив собі додатково 80 млн грн на новенькі сервери. Тут не заперечиш. Але треба зробити і такий висновок з того, що трапилось: війна ХХI століття знову продемонструвала, якою вона може бути. Перший раз ми це побачили рівно рік тому, на прикладі атаки на систему управління «Прикарпаттяобленерго» в Івано-Франківську. Масштаб там був вражаючий, але не настільки, як нині…

Про винних у зломі мереж Мінфіну та Казначейства уже заявлено. Ними виявились таємничі та підступні хакери, що намагаються будь-що зірвати революційні реформи в державі. Перші результати кіберпереполоху: трохи бюджетних нервів і багато бюджетних коштів на закупку нового обладнання. Чим не швидкий спосіб оновлення матеріально-технічної бази? Оперативність, з якою до публікації офіційних результатів розслідування були виділені багатомільйонні кошти дещо дивує і уже спричинила до появи відповідних жартів… Але насправді все складніше і реально небезпечно.

Кіберпереполох державного масштабу - битва почалася

Невідомі хакери у вівторок 6 грудня, зламали сайт Державної казначейської служби України та Мінфіну. Замість сторінки Держказначейства за посиланням www.treasury.gov.ua відбувалася переадресація на сайт www.whoismrrobot.com, де білим на чорному красувалося грізне хакерське вітання: "Привіт, друже. Ми знову тут. Битва почалася, але до кінця війни ще далеко. Сила залишається безмежною. Після всього, що сталося, хто насправді все контролює? Ти не можеш перестати бути маріонеткою, якщо ти навіть ніколи не бачив ниточки, за які смикають. Ти хотів врятувати світ. Ти думаєш, що це так просто? Ми запалили полум'я революції. І тепер ми вирішуємо, чи буде воно горіти або згасне, або розгориться по-справжньому. Наша справжня робота тільки починається...". Сайт центрального фінансового відомства не завантажувався, малюючи відому цифрову «дулю» - 404.

«Відбулася скоординована професійна хакерська атака на органи Міністерства фінансів. Це є очевидною спробою зірвати бюджетний процес, який вперше за більш ніж 17 років йде за графіком, перешкодити впровадженню важливих ініціатив Мінфіну та дестабілізувати ситуацію. Масштаб атак показує серйозний спротив антикорупційний реформам Мінфіну. Це лише підтверджує, що ми на правильному шляху. І ми не зупинимось», – одразу ж рішуче заявив Мінфін.

Наступного ж дня у середу Кабмін виділив постраждалим від кібератак відомствам 80 млн грн з резервного фонду на оновлення мережевого обладнання. «40 млн грн – Мінфіну, і Державній казначейській службі – теж 40 млн грн на оновлення серверного обладнання територіальних органів, а також закупівлю обладнання для системи віддаленого резервування», – сказав міністр економічного розвитку і торгівлі Степан Кубів, представляючи розпорядження.

В результаті дій кіберзлочинців протягом двох днів була заблокована значна частина фінансової системи країни: бізнес не міг платити податки, а органи казначейства мали проблеми з повноцінним виконанням платежів. Мова йде про 150 тисяч трансакцій на добу, загальним об’ємом у дні пікової загрузки до 10 млрд гривень в день (на початок місяця припадають виплати пенсій, соцдопомоги і зарплат, під кінець місяця рух коштів по рахункам теж збільшується).  В пресі повідомляється, що якраз напередодні кібератаки - 5 грудня - ДФС передала в казначейство реєстр на відшкодування ПДВ на суму понад 760 млн грн, які казначейство повинно було повернути платникам.

Два дні пішло у спеціалістів на відновлення роботи сайтів. «Платежі Держказначейства відновлено. Пошкоджені сервери, внутрішні мережі та бази знов функціонують. Всю інформацію вдалось зберегти. Відповідними органами розпочато роботу над пошуком зловмисників», - відрапортували мінфінівці.  

І пообіцяли, що виділені кошти підуть на закупівлю нового активного мережевого обладнання, маршрутизаторів, комутаторів та фаєрволів, засобів резервування та копіювання, а також раннього виявлення та попередження несанкціонованого проникнення. Все обладнання буде закуплено через відкриті тендери он-лайн системи ProZorro.

Хто тут був? Піщані хробаки

Як повідомив РБК-Україна з посиланням на джерела у правоохоронних органах, за попередніми даними, був використаний аналог вірусу BlackЕnergy, яким рік тому були заражені мережі «Прикарпаттяобленерго» та міжнародного аеропорту «Бориспіль».

Хакери дали зрозуміти, що переслідують ту ж саму мету, що і група компьютерщиків-фріків в серіалі "Mr. Robot". Це кримінальна драма про молодого хлопця на ім'я Еліот. Його видатні здібності користуються попитом серед організацій урядового рівня, що спеціалізуються на кібербезпеці. Але одного разу на зв'язок з ним виходить якийсь містер Робот, який є лідером великого підпільного руху, який, прикриваючись гучними гаслами, насправді хоче звалити найбільші американські корпорації.

Фільм, до речі, став лауреатом одразу кількох премій - "Золотий глобус" (Голівудської асоціації іноземної преси за кінофільми, Emmy (головної телевізійної премії США) та Peabody (щорічної міжнародної премії за видатний вклад у розвиток радіо і телебачення).

Але то в кіно. Насправді ж, за кіношними героями стоять реальні злочинні кіберорганізації. Так, на «Прикарпаттяобленерго» хакери з допомогою вірусу BlackЕnergy дібралися до центру управління підприємством, яке розподіляє електроенергію в регіоні, і несанкціоновано відключили регіональні електропідстанції. До розслідування цієї атаки були залучені ФБР, ЦРУ і Агентство національної безпеки США.

Слідство встановило, що атака на обленерго здійснила так звана група «Піщаний хробак» (Sandworm, вона ж Quedagh). Саме їх мережа використовувалася для атаки на державні та комерційні організації не тільки в Україні, але і в Польщі. За словами експертів, команда «Піщаний хробак» - одна з найбільш технічно потужних хакерських груп світу. На Заході її вважають постійною загрозою, що має держпідтримку і використовується в політичних цілях Російською Федерацією.

Наразі не відомо, хто стоїть за нинішніми атаками на Мінфін. Не виключено, що окрім зовнішніх ворогів є «внутрішній» зацікавлений замовник. Викликає підозру, наприклад той факт, що кібератака була здійснена безпосередньо напередодні епохального голосування за зміни до Податкового кодексу (законопроект № №5368). Який в тому числі передає Мінфіну повноваження на ведення баз даних, якими зараз опікується ДФС (чутки доносять, що керівництво ДФС не добре ставиться до цієї ідеї). А доброзичливці могли таким чином показати вразливість мінфінівських серверів та скомпрометувати відомство у очах суспільства.

Хоча з огляду на отримані чиновниками додаткові мільйони, мережею ходить ще «зліша» версія, викладена у одному з коментарів: «А з хакерами, надіємось, поділилися? Хакер як двигун відомчого прогресу – це вже не смішно…».

Марина Нечипоренко, Київ.