Що стоїть за кібератакою на українські банки та ресурси
17 лютого 2022 р.
Кібератака на українські банки, державні веб-ресурси та портал електронних послуг "Дія", яка почалася 15 лютого і тривала майже добу, стала наймасштабнішим подібним нападом на Україну, кажуть у міністерстві цифрової трансформації України. За словами керівника відомства віце-прем'єра Михайла Федорова, подібна атака коштує кілька мільйонів доларів і була спрямована на дестабілізацію ситуації в країні. За попередніми даними СБУ, до неї можуть бути причетні спецслужби Росії. В РФ це заперечують, розслідування триває.
Про те, що стоїть за такими атаками, чи можна зайти їхнього замовника та наскільки вразливою є Україна у кібервійні, DW розпитала одного з найвідоміших українських експертів з кібербезпеки Костянтина Корсуна.
DW: Представники влади кажуть, що DDoS атака на банки та сайти державних органів була наймасштабнішою, проте доказів витоку, спотворення чи видалення даних не зафіксували. З вашої точки зору, у чому полягала суть цієї атаки?
Костянтин Корсун: У сучасному світі DDoS атаки - це досить дорого, приблизно як влаштовувати феєрверки за допомогою Javelin. Тому доцільність таких атак полягає у тому, щоб відволікти увагу від чогось важливішого з точки зору нападника. Поки всі гасять цю пожежу, вони тихенько "ламають" в іншому місці. Оскільки серед відповідальних немає фахівців належного рівня, вони просто не здатні оцінити наслідки і провести детальне розслідування, щоб виявити що і в яких частинах мережі трапилося.
Від чого могли відволікати увагу?
Це може бути проникнення і закріплення в системі. Основна мета нападника - з одного боку наробити великого шуму DDoS атакою, а з іншого - зайти у вже розвідані слабкі місця, проникнути всередину системи, закріпитися там, отримати права адміністрування. Якщо зловмисник непоміченим проник у систему і закріпив там маленького бота, він вже може вести розвідку зсередини системи. Далі можна робити що завгодно - роками перехоплювати інформацію, аналізувати її, перебрати на себе права адміністратора. А в якийсь момент такий бот може завантажити якийсь вірус, який знищить, спотворить або зашифрує інформацію. Варіантів зловживань безліч.
Тобто зараз треба перевірити кожну з систем, на які велися атаки, в пошуках таких ботів? Це реально зробити?
Звісно ні. Проблема будь-якого кіберзахисту визначається ключовою ланкою - людьми, які цим займаються. Чи є вони взагалі й наскільки вони кваліфіковані. В абсолютній більшості державних установ немає навіть одного офіцера кібербезпеки, який би відповідав за те, щоб система працювала безпечно. Це велика проблема. У нас, на жаль, фактично не працює національна система кібербезпеки. Відбуваються спроби імітувати її роботу, але це все суто для видимості.
Так, кожну систему можна зламати, але ціна цьому різна. Українські системи ламати дуже дешево, бо рівень захищеності надзвичайно низький. Тому, за тих умов, що існують, вірогідність, що ми зможемо виявити елементи, які у системи могли додати зловмисники, вкрай низька. Скажу більше: така тактика використовується вже більше десяти років. Я не сумніваюся в тому, що російські "шпигунчики" є в усіх державних установах. Знайти і видалити їх - це величезна і дорога робота. Легше все знести і перебудувати заново так, щоб кібербезпека була вже вбудована в архітектуру. Проте на це потрібні величезні кошти і фахівці, які будуть це обслуговувати.
Михайло Федоров заявив, що на "Дію" атака йшла спочатку зі сторони Росії та Китаю, а потім - з боку Чехії та Узбекистану. При цьому, представники влади підкреслюють - поки що пов'язати цю атаку з РФ чи іншою країною не можна, йде розслідування. Хоча і вказують на те, що атака такого масштабу коштує мільйони доларів, тому за нею стоїть уряд якоїсь держави чи держав разом зі спецслужбами. Ви погоджуєтесь з такою думкою?
Я погоджуюся з тим, що це більше скидається на політично мотивовану атаку. У світі кібербезпеки існує три умовних групи хакерів. Десь 80 відсотків - це комерційні хакери, котрі працюють заради грошей. Друга група - це політично мотивовані хакери, спонсором для яких виступає держава. Їх цікавлять не гроші, а політичні цілі. Третя і найменша група - це хактивісти, які проводять атаки заради якихось ідей чи принципів, тобто з ідеологічних мотивів.
У даному випадку у зловмисників не було мети отримати гроші чи вкрасти щось матеріальне. Очевидно, що є політична мотивація. Хто, скоріше за все, може бути її бенефіціаром - всі ми знаємо, особливо на тлі загрози вторгнення в Україну. Технічно виявити сліди можна, але знову ж не з українськими можливостями та рівнем кваліфікації фахівців з кібербезпеки.
Поясню: DDoS атаки здійснюються через ботнет - величезну мережу, в якій до 40-50 тисяч різних девайсів з усього світу. Вона не концентрується в одній країні, тому що у такому разі її легко заблокувати за геопринципом. Всі учасники ботнету в різних країнах одночасно отримують команду і одночасно з тисяч різних точок світу атакують цільовий ресурс.
Що стосується джерела такої атаки, то його теж можна виявити. Але для цього потрібна взаємодія українських фахівців зі спеціалістами з міжнародних організацій та інших країн. Американське Агентство національної безпеки, наприклад, може відстежити що завгодно. Проте існує таке явище як command and control server (C&C) - сервер, який керує ботнетом. Зазвичай такі сервери розміщаються на хостінгах, захищених від переслідувань. Виявити командний сервер теж відносно не складно, але складно припинити його роботу. Окрім того, залишається питання так званої "останньої милі" - звідки керується цей сервер. Вирахувати і відстежити це можна, наприклад, з залученням тих самих американських спецслужб. Проте якщо, наприклад, слід джерела веде кудись у Ростовську область, то далі інформацію можна отримати лише у місцевого провайдера. На цьому переважно всі розслідування і закінчуються. Тобто у міжнародній співпраці можна виявити все, але дійти вдається лише до "останньої милі", до початкового джерела атаки. Якщо воно знаходиться поза межами контролю цивілізованого суспільства - то можна лише звинувачувати ту країну, яка приховує злочинців.
Тобто виглядає так, що замовника цієї DDoS атаки Україна навряд чи колись встановить?
Наразі не встановить. Загалом логіка процесів вказує на те, що за цим всім стоїть, скоріше за все, Росія. Думаю, якщо до розслідування підключаться США, то і технічні докази вони знайдуть.
14 січня в Україні вже була масштабна кібератака. Зараз представники влади кажуть, що вона має схожі риси з нинішньою, хоча технології цих двох інцидентів різні. Чи бачите ви якийсь зв'язок між цими подіями?
Якщо влада не надала технічних доказів, то це означає, що їх у них немає. Вони розмірковують приблизно так само як я, тобто з точки зору того, що треба шукати тих, кому вигідно. За логікою політичної мотивації і вигоди виходить, що - Росії.
Ще один етап кібервійни?
Думаю, що так.
Читайте також: Хакери перевіряють Україну на міцність. Хто стоїть за кібератаками?
Цього разу хакерська атака зачепила і українські банки. Наскільки, за вашими оцінками, захищена українська банківська система від таких загроз?
Серед усіх галузей критичної інфраструктури банківська система захищена найкраще. Це пояснюється дуже просто: у банків є міжнародні вимоги. Якщо банк щороку не проходитиме незалежний аудит кібербезпеки і не надасть відповідний звіт, його просто відключать від Visa чи Mastercard. А це для нього миттєва смерть. Схожі вимоги мають всі платіжні системи, тому банки витрачають на кіберзахист немалі гроші: на фахівців, інструменти, регулярні навчання персоналу щодо протидій кібератакам.
А чи є у банківської системи слабкі місця?
Безумовно. Зазвичай це люди, працівники, яких хакають через соціальну інженерію - фішингові посилання чи дзвінки, через соцмережі. Це великий сектор кіберкримінальної економіки - атакувати не напряму, а примусити людей, які працюють в цій установі, певним чином відчинити зловмисникам маленькі дверцята. Банки мають проводити регулярні навчання для співробітників, найбільші українські, наскільки я знаю, це роблять постійно.
Проте не варто забувати, що IT технології постійно оновлюються. А нові технології несуть в собі нові ризики. Наприклад, є така категорія вразливостей як 0-day - вразливість нульового дня. Це такі речі, про які не знає навіть розробник технології. Такі вразливості знаходять хакери і продають на чорному ринку за десятки тисяч доларів. Потім на основі цих даних створюються нові хакерські інструменти, з якими зловмисники можуть приховано проникнути у системи, які пройшли всі аудити і вважалися захищеними. Це постійна загроза для навіть суперзахищених систем.
Ще одна слабка ланка - постачальники. Атаки такого типу відбулися якраз 14 січня - так звана supply chain attack, атака на ланцюжок поставок. Таке може бути коли периметр конкретної системи надійно захищений, але вразливість є у постачальника, наприклад, у компанії, яка розробляє веб-сайт для організації. Якщо хакнути компанію, яка має свій легальний доступ до захищеної системи, це дасть доступ до фортеці. Такий собі троянський кінь. Це дуже актуальна загроза, в тому числі і для банків.
На вашу думку, чи слід очікувати, що подібні атаки на об'єкти критичної інфраструктури України продовжаться?
Я не сумніваюся, що атаки повторяться. Можливо, кожного місяця росіяни будуть проводити подібні демонстрації, щоб тримати нас у тонусі. Тим більше, що для них робити це дуже легко - у них дуже серйозні кібервійська, а наш захист переважної більшості об'єктів критичної інфраструктури дуже низького рівня. Я переконаний, що це залежатиме виключно від бажання того, хто атакує.
Читайте також: НАТО допоможе Україні посилити кібербезпеку
У чому полягає основна проблема з побудовою системи кібербезпеки в Україні? Потрібні фахівці чи фінансування? Чи, можливо, нові технології?
Якщо дивитися на проблему з точки зору національної стратегії, то починати потрібно з побудови державно-приватного партнерства. В усіх країнах світу кращі фахівці працюють у приватному секторі, бо там кращі зарплати. Проте всі проблеми національного характеру вирішуються за рахунок такого партнерства. Але в Україні це абсолютно не працює. Має бути саме партнерство, тобто взаємодія на рівних умовах і з рівними правами.
Тобто частину завдань треба віддати приватному сектору на аутсорс, щоб приватна компанія мала повноваження ухвалювати рішення, виконувати завдання і відповідати за це?
Це велике спрощення, але справді якісь повноваження треба делегувати. Якщо держава не може виконати певні завдання, то треба залучити партнера, але на прозорих умовах. На рівні держави можна координувати всі ці процеси, але не втручатися в них.
Якщо така форма співпраці запрацює, це частково вирішить для України питання з фахівцями та технологіями?
Так.
Читайте також: Цифровізація хаосу. Чому в Україні "течуть" персональні дані
А далі, на вашу думку, що потрібно робити?
Основа національної кібербезпеки будь-якої країни - це обмін інформацією про інциденти. Це дуже чутлива і делікатна сфера для якої потрібна довіра: у мене щось сталося і я ділюся з колегами. І це конфіденційна інформація, особливо для банків. Ділитися нею можна лише тоді, коли є переконання, що вона не витече і не буде використана проти тебе. Зараз система довіри і обміну інформацією майже не працює і в досить розвинутому приватному секторі. А вже обмін інформацією між приватним сектором і державою - це не реально за нинішніх умов. Довіри немає, її треба дуже довго і обережно розбудовувати. Це питання років.
На кому має бути відповідальність за розбудову системи кібербезпеки чи за налагодження того ж державно-приватного партнерства?
Почати розбудову має якась фахова і високоморальна людина або група людей.
Це має відбуватися на базі існуючих державних органів?
Я в це не вірю. Вони дискредитовані, їм вже не зможуть повірити. В Україні наразі вісім основних об'єктів забезпечення кібербезпеки і національний координаційний центр кібербезпеки Ради національної безпеки і оборони. Я вважаю, що це розпилення відповідальності.
Теоретично могла б бути нова неурядова установа, створена на принципах державно-приватного партнерства. До її роботи на рівних правах мають бути залучені всі стейкхолдери: держава, бізнес, професійна спільнота, наука. При цьому, її робота має бути прозорою, без корупції і диктату держави, можливо, за рахунок фінансування західних фондів.