DDoS- та інформатаки: уроки для України, українців та банків
Оцінюємо запас міцності фінансової і банківської систем при спробах дестабілізувати ситуацію через інформаційні та кібератаки
Цього тижня Україна зазнала безпрецедентних за потужністю DDoS-атак. І ні в кого із наших притомних співвітчизників немає сумніву, що вони є елементом гібридної війни з боку РФ. Судячи із численних офіційних та неофіційних заяв та коментарів, так думають і міжнародні партнери нашої країни.
Основне завдання зловмисників – дестабілізувати й без того непросту соціально-економічну ситуацію в країні, змусити українців панікувати, знизити рівень їхньої довіри не лише до держави, а й до її інституцій та сервісів, які вона надає. Тому цього разу, окрім сайтів Міноборони, Збройних сил, низки інших держорганів, нападу зазнали й ресурси НБУ, портал і застосунок “Дія” (якими користуються 14 мільйонів українців), державних Ощадбанку і Приватбанку, котрі надають мільйонам наших співвітчизників послуги онлайнбанкінгу, а також комерційні банки.
До того ж, кібератакам передували ретельно сплановані інформаційні “удари”, покликані посилити недовіру громадян до вітчизняної банківської – та й, вочевидь, усієї фінансової системи. На щастя, головної мети зловмисники та їхні замовники не досягли. Але, погодьтеся, нерви нам неабияк потріпали, та й сил і фінансів для протистояння і ліквідації наслідків атак довелося витратити чимало.
Про “цифровий” вимір гібридних атак
Атака “відмова в обслуговуванні”, DoS, – це спроба заподіяти шкоду, зробивши недоступною цільову систему (наприклад, вебсайт чи застосунок) для кінцевих користувачів. Задля цього зловмисники, зазвичай, генерують шалену кількість пакетів чи запитів, з якими система не може впоратися і стає недоступною для “нормальних” звернень. Для здійснення атаки за принципом “розподілена відмова в осблуговуванні” (DDoS) хакери використовують безліч зламаних і контрольованих джерел (комп’ютерів, смартфонів, планшетів). Ця техніка може бути розкидана по всьому світу. Відстежити “головні” комп’ютери, з яких зловмисники віддають накази про початок або припинення атаки, фактично неможливо. Приміром, у випадку з Ощадбанком систему торпедували приблизно мільйоном запитів за секунду. У Приватбанку – ще більше.
З одного боку, DDoS-атаки не такі небезпечні, як кібернапади з інсталяцією шкідливого софту на кшталт тих, з якими Україна стикнулися 14 січня. Адже жодного викрадення даних немає, як і втручання в контент, що міститься на ресурсах, та в саме програмне забезпечення, інформація не зникає безслідно й не підміняється іншою, вигідною тому, “хто музику замовляє”, грошей з рахунків ніхто не знімає. Водночас ці атаки можуть бути доволі тривалими. Фахівці наводять таку статистику: 33% DDoS-атак тривають до години, 50% – приблизно добу, 15% – до місяця. Одразу впоратися із цим видом втручання в роботу системи дуже складно. Що, власне й продемонструвала ситуація з українськими державними банками.
Пам’ятаєте? Перші заяви про відновлення роботи сервісів з’явилися вже увечері 15 лютого (коли й почалася атака). І щось там навіть трохи “пофуричило” (автор сам переконався на застосунку Приватбанку). Але за якийсь час системи знову “лягли”. І про повне їх відновлення заговорили (та й то – з обмовками, що атаки тривають і з ними борються в оперативному режимі) лише у середині наступного дня.
І, так. Організація атак такого рівня – дороге задоволення. На чому наголошували учасники спільного брифінгу РНБО, Держспецзв’язку, Кіберполіції, СБУ, Нацбанку та інших служб і органів, що відбувся у середу. Лише на першому етапі “інвестиції” мають сягати кількох мільйонів доларів (хоча деякі ІТ-фахівці називають на порядки менші суми). А якщо атакувати упродовж тижнів чи місяця?.. Ніхто й підраховувати не береться. Тож і не дивно, що говорячи про імовірних ініціаторів DDoS-атак, зазвичай, мають на увазі цілі держави, які діють через свої спецслужби. В цьому випадку мова, звісно ж, про головного нашого ворога й недоброзичливця – Російську Федерацію. Тим паче, що саме вона – головний вигодоотримувач від спроб дестабілізувати ситуацію в Україні. Маємо визнати: кібератаки стали далеко на одноразовим інструментом спеціальних інформаційних операцій держави-агресора.
Загалом же поміж причин DDoS-атак експерти називають особисту неприязнь, намагання “розважитися” (як це часто буває і з псевдомінуваннями), недобросовісну конкуренцію – намагання насолити бізнесовим чи науковим суперникам або ж “колегам по цеху” в тій чи іншій галузі. Найпоширеніша у світі причина – шантаж і вимагання. Багато хто перетворив такий механізм впливу на сайти і застосунки на метод наживи. Нарешті, ще одна небезпечна причина – політична. Із чим і стикнулися ми цього тижня.
“Звісно ж, дати чітку відповідь, “чому” стається та чи інша атака, ми не можемо, оскільки про її “магістральну” мету знають лише виконавці чи замовники, – каже в коментарі Укрінформу ІT-директор “ВОЛЗ” (компанії з надання інтернет-послуг, хостингу й захисту від DDoS-атак) Дмитро Редчук.
Водночас, за його словами, можна гіпотетично визначити ризики й спробувати розібратися, до яких наслідків це могло призвести, а отже – назвати гіпотетичні причини:
1) визначення потужностей захисту (це як “розвідка”, коли визначають, де розміщують сервери, як з ними працюють, як швидко відбивають атаку тощо);
2) пошук вразливостей (доки ІТ-спеціалісти “підіймають” сервери, можна спробувати отримати доступ до баз даних, зламати систему, занести вірус, який спрацює вже пізніше; тобто коли “лягають” сервери і ми втрачаємо з ними зв’язок – це завжди небезпека, що цей зв’язок віднайде й отримає хтось інший);
3) намагання скористатися раніше знайденими вразливостями.
“Політичні мотиви на кшталт “відвернення уваги від інших важливих подій” чи “посилення паніки” коментувати не можу, адже я не політолог, тож це було б некоректно. Також виключаю й причину іміджеву чи репутаційну: користувачі хочуть зайти в особистий кабінет/скористатися послугою – їм це не вдається – підвищується недовіра чи негатив. Такі речі можуть іти, швидше, як “бонус”, комплексно, але не є кінцевою ціллю атаки. Тобто, “чому” й “навіщо” сказати складно, але цілком ймовірно, що це може бути комплекс причин”, – вважає Редчук.
DDoS-атаки: психологічний вимір
Представники державних органів і спецслужб в оцінках більш прямолінійні: цього разу основною метою кібернападників було не стільки заподіяти пряму шкоду Ощадбанку, Приватбанку чи іншим об’єктам атак, як посіяти паніку в українському суспільстві. Саме цим пояснюються й масові вкидання в соцмережі та поширення через СМС повідомлень а-ля “знайомий знайомого бачив, як знайомий знайомому сказав” напередодні та безпосередньо у день кібератак. Українців намагалися переконати, що в тій чи іншій банківській установі (і говорили не лише про “Ощад” та “Приват”) – проблеми із банкоматами й терміналами, що готівку зняти не можна, депозити заморозили, черги до відділень – більші, ніж до мавзолею Лєніна в радянські часи, і тому подібне. Мета – “на поверхні”. Одна з цілей – безпосереднє розбурхування ситуації. Інша, кажуть експерти – спровокувати бодай частину довірливих українців самим стати “зброєю” в руках зловмисників під час DDoS-атак, додаючи проблем цифровим сервісам та їхнім адміністроторам. Адже до мільйонів щосекундних атак, за які організаторам заплачено мільйони доларів, додалися б і тисячі “безплатних”, “бонусних” для замовників звернень до застосунків і сайтів від наших співвітчизників-панікерів.
“Остання DDoS-атака – це атака, яка класифікується як інформаційно-психологічна. Вона не була деструктивною, що пошкодила б інфраструктуру, а спрямовувалася виключно на населення, аби продемонструвати відсутність доступу до інформаційних електронних ресурсів, які надають держава і фінансові установи, – наголосив на брифінгу заступник секретаря РНБО Сергій Демедюк. Він запевнив, що жодних втрат, пошкоджень, викрадень не сталося. Енергетична, фінансова та інші державні системи працюють у звичайному режимі.
Посадовець нагадав, що напередодні кібератаки багатьом громадянам, передовсім військовослужбовцям ЗСУ та правоохоронцям, почали надходити СМС-повідомлення про те, що ввечері з 15 на 16 лютого нібито не працюватимуть банкомати. Це була скоординована планова атака, аби люди самі почали “допомагати” злочинцям здійснювати пасивну атаку на ресурси, перевіряючи свої рахунки.
За словами Демедюка, від таких атак не застрахована жодна країна, але є можливість їх уникати. Для цього необхідно налагоджувати спільну скоординовану роботу провайдерів усіх форм власності і державних установ, які забезпечують кіберзахист.
А віцепрем'єр – міністр цифрової трансформації Михайло Федоров окремо наголосив, що усі профільні служби перебувають у постійній готовності протидіяти спробам дестабілізувати ситуацію через вплив на систему цифрових сервісів в Україні.
“На організацію таких атак витрачають мільйони доларів. Але ми успішно протистоїмо їм завдяки злагодженій роботі провайдерів, Служби безпеки України, кіберполіції, фахівців Мінцифри, бізнесу. Адже розуміємо відповідальність, яку несемо в країні, будуючи цифрову державу. Для нас – неабиякий виклик стільки часу приділяти кібербезпеці, паралельно розвиваючи сервіси. Але ми це робимо. Й готові до будь-якого сценарію”, – запевнив Федоров.
За словами урядовця, важливо, що Дія не зберігає персональні дані. Вона побудована таким чином, що вся інформація акумулюється в різних реєстрах. Що робить атаки на сервіс неефективними: атакувати одночасно усі реєстри, кожен з яких має окрему систему захисту, вкрай складно.
Те ж стосується і банківської системи, – наголошують в НБУ. Аби “покласти” її, блокувати роботу системи банкоматів, потрібно “хакнути” усі кілька десятків банків, які працюють в Україні і мають власні банкоматні мережі. А це практично неможливо, адже й Нацбанк, і кожна окрема банківська структура має власну багаторівневу систему кіберзахисту.
Фінансовий вимір ворожих атак
А що ж із фінансовою частиною інформаційних атак на Україну? Вони, до речі, почалися ще задовго до лютневих DDoS-вихваток. Певно, до вух кожного долинали повідомлення про те, що “українці масово забирають свої депозити”, через що в банків, мовляв, виникають проблеми з ліквідністю. Насправді ж жодна з чуток офіційно не підтверджена.
За оцінками економістів, у січні і справді стався незначний відтік коштів із банківських депозитів. Але щось подібне відбувається на початку кожного року – не всі вкладники, зазвичай, продовжують термін дії строкових вкладів. Тим паче, що цього січня тривали коливання на валютному ринку – психологія при цьому також зіграла свою роль. Дехто зі співвітчизників справді вирішив, що, купивши долари або євро, зможе заробити більше, ніж пролонгувавши угоду про банківський депозит. Хтось вважає, що в умовах непрогнозованості дій РФ краще мати під рукою готівку, аніж гроші на рахунку...
Але загалом йдеться про незначний відтік на тлі перманентного нарощування обсягів вкладів населення упродовж усього минулого року. За даними НБУ, у ІV кварталі 2021-го обсяги залучених банками коштів зросли, а вартість ресурсу дещо підвищилася – через подорожчання залучень від корпорацій. Як свідчить проведене Регулятором опитування, самі банки позитивно оцінюють динаміку фондування в жовтні – грудні: обсяги залучених коштів зросли у 72% респондентів.
Основним чинником нарощування обсягів залучень була вища пропозиція від вкладників. Висновки: накопичення українців на депозитних рахунках у банках стабільно зростають.
Оцінки приросту залучень у I кварталі 2022 року стриманіші: банки розраховують на приплив коштів переважно від корпоративних клієнтів, водночас не прогнозують активізацію залучення грошей від населення. Але. І про перспективи (чи бодай перші ознаки) масового розірвання депозитних договорів ніхто із банкірів не говорить.
Натомість інформаційні атаки на українську банківську систему – точніше, на українців через розповсюдження фейків про ситуацію в нашій банківській системі – тривають. Вже після того, як вдалося впоратися з масштабними DDoS-атаками, в соцмережах з’явилася чергова порція “панікерських” повідомлень. Нічого нового. Знову йдеться про наміри нібито обмежити обсяги зняття українцями готівки із банкоматів.
“У телеграм-каналах поширюється інформація про те, що найбільші банки України разом з урядом тестують можливість обмеження на зняття грошових коштів із карток і банківських рахунків громадян та начебто ця дія проводиться в межах підготовки до відсічі збройній агресії. Це – провокація або ж звичайне шахрайство”, – повідомили у четвер в Національній асоціації банків України. І запевнили: жодних обмежень на зняття готівки з боку банків не планується. У тому, що такі чутки, м’яко кажучи “перебільшені”, запевнив і співзасновник Монобанку Олег Гороховський.
Так що річ усе-таки в нашій психологічній стійкості, а не у фінансовій вразливості, панове. Не панікуймо, й автори та виконавці гібридних атак точно впіймають облизня.
Владислав Обух, Київ