Україна програє кібервійну. Хакери атакують державні фінанси
ІНШИЙ ФРОНТ: ВІЙНА ТРИВАЄ /
Напередодні організована група хакерів атакувала Міністерство фінансів, Державне казначейство та Пенсійний фонд, вивела з ладу комп'ютери, а також знищила важливі бази даних. Фахівці в області кібербезпеки вважають, що влада замовчує реальний масштаб наслідків хакерського удару.
Организованная группа хакеров проникла во внутренние телекоммуникационные сети Министерства финансов, Государственной казначейской службы, Пенсионного фонда и вывела из строя ряд компьютеров, а также уничтожила критически важные базы данных, имеющие отношения к работе Госказначейства и Пенсионного фонда.
В результате 7 декабря 2016 года проведение обязательных платежей на сотни миллионов гривень Госказначейством и Пенсионным фондом были заблокированы. Платежи проходили с задержками или не проходили вовсе, не работали сайты Минфина и Госказначейства.
Специалисты в области кибербезопасности считают, что официальные лица Госказначейства и Пенсионного фонда замалчивают реальный масштаб последствий хакерского удара.
Почерк злоумышленников похож на прошлогодние атаки на облэнерго и аэропорт "Борисполь". На данный момент в зараженном состоянии могут находиться не только сети региональных подразделений Госказначейства, но и сетевая инфраструктура других критически важных объектов Украины.
Чтобы предотвратить или отразить будущие хакерские атаки, специалисты в сфере кибербезопасности призывают чиновников раскрыть больше подробностей о совершенном хакерами нападении.
Паника
На следующий день Минфин сообщил: "В результате профессиональной хакерской атаки на органы Министерства финансов Государственное казначейство имеет определенные проблемы с полноценным выполнением платежей".
Затем сотрудник госпредприятия "Национальные информационные системы", которое занимается сопровождением госреестров, написал в Facebook, что "вирус, уложивший казну, носит название killdisk. Файл вируса называется smss.exe в корне Windows (не путать с файлом в System32). Есть подтверждение, что отлавливается ESЕТ v.5 с базами от 06-07.12.2016. Также следует обращать внимание на "службу" Plug-and-Play (не путать с Plug and Play). Для удаления грузиться нужно только с LiveCD".
По мнению технического директора киевской лаборатории Zillya! Олега Сыча, столь быстрое выделение таких больших сумм на IT-оборудование может свидетельствовать о панике среди технических специалистов, которые поддерживают IT-инфраструктуру ведомств.
Технические специалисты наконец объяснили чиновникам, что им недостаточно серверов для резервного копирования, что существующее оборудование слабое или устаревшее. Это хороший знак. Обычно на закупку такого оборудования у госструктур уходят месяцы.
Вероятный способ взлома и последствия
Уже установлено, что руткит BlackEnergy, который открыл доступ к внутренней сети энергокомпаний, попал на компьютеры за полгода до включения деструктивной функции. В ситуации с финансовыми госструктурами могла быть аналогичная ситуация. Злоумышленники выбрали удобный момент для нанесения удара: конец года, накануне новогодних праздников, когда начинается тяжелый процесс принятия госбюджета.
"Возможно, также взломаны и заражены сети других госучреждений, но эксплуатация этих взломов пока не своевременна для атакующей стороны. Впрочем, таких взломов может и не быть", — отмечает Сыч.
Если бы не выведенные из строя сайты Минфина и Госказначейства, информация об успешных атаках на внутреннюю сеть госструктур могла бы и не дойти до общества. Чиновники могли бы попытаться замолчать инцидент.
У хакеров же цель — подвергнуть свои успехи огласке. Взлом сайтов лучше всего подходят для этих целей, хотя сам по себе взлом сайта не несет никакой угрозы внутренней информационной инфраструктуре предприятия.
Технический директор киевской лаборатории Zillya! также сомневается, что хакерская атака привела к физическому выходу из строя оборудования. Об этом говорится в одном из сообщений Минфина. Скорее всего, речь идет о повреждении конфигурации сетевого оборудования, переконфигурировании элементов телекомсети, удалении данных.
"Если в организации используется сложное сетевое оборудование, и оно было сконфигурировано определенным образом без резервной копии, то после уничтожения конфигурации восстановить его быстро очень сложно. Часто никто не знает, как его надо настроить. Оборудование настраивается неделями, месяцами и даже годами", — объясняет Сыч.
Вопрос в другом: сохранились ли резервные копии конфигурации оборудования, серверов и баз данных. При их наличии информация восстанавливается достаточно быстро. Госказначейство восстанавливает свою деятельность, значит, резервные копии создаются.
Инструмент атаки
Согласно известной информации, данные на серверах и компьютерах внутренней сети, по крайней мере, Госказначейства, уничтожались троянской программой killdisk. Это популярная программа. У нее много разновидностей. Более того, она доступна в исходных кодах, поэтому злоумышленники всегда могут ее модифицировать до неузнаваемости, чтобы антивирусные программы эту программу не обнаружили.
Программа killdisk применялась в том числе при атаках с помощью BlackEnergy на энергокомпании Украины. Там была другая модификация killdisk. Этот троян уничтожает информацию методом перезаписывания, что делает невозможным ее восстановление.
"Применение killdisk мы видим как общий почерк. Эта программа популярна, ее применяют многие хакерские группировки, поэтому возможны два варианта. Для атаки на инфраструктуру Украины ее использует одна и та же группировка или кто-то использует почерк авторов атаки на энергокомпании, чтобы замести следы и выдать нынешнюю атаку за атаку той группировки", — говорит Сыч.
Говоря об исполнителях атаки на Минфин, Госказначейство и Пенсионный фонд, специалист предположил, что это была группа лиц с четкими целями. Эти цели не были финансовыми, была конкретная цель провести диверсию.
"Это не частная коммерческая группировка, задача которой — заработать деньги, — считает Сыч. — Это либо частная группировка, которой заплатили за нанесение имиджевого и финансового ущерба Украине, либо специализированное киберподразделение страны-агрессора. Цель атаки — поставить под сомнение стабильность страны".
По словам технического директора Zillya!, возможно, через несколько недель появится более подробная информация об алгоритме проведенной атаки. Тогда все специалисты смогут сделать определенные выводы. Если же информацию засекретят, это будет означать, что аналогичная атака на другие госструктуры может стать успешной.
-
Mercedes-Benz оновив Vito та Sprinter
-
На Хмельницькій АЕС розпочали будівництво двох енергоблоків за провідною американською технологією АР1000 Westinghouse
-
Названі найнадійніші компактні вживані кросовери сучасності
-
На що звернути увагу при виборі віртуального сервера
-
Яке обладнання використовується для лінії відбілювання рослинної олії
-
Vodafone отримав дозвіл на використання 10 млн номерів із новим кодом «075»