Кібцентр НАТО та українські експерти – про хакерські атаки-2020

Якими були кібератаки та їх організація, що відповідно свідчить – хто був зацікавлений у кіберагресії

Кібербезпека – один з ключових аспектів глобального неспокою. І все частіше цю грань світового порядку перевіряють на вразливість. Так, в 2020 році було зафіксовано безліч зухвалих хакерських атак, які несли глобальну загрозу. За даними комітету з захисту інформації, кількість випадків кібератак нещодавно різко збільшилася, і в Україні, зокрема, хакери активно діяли у період новорічних свят. Детальніше цю тему в програмі “Код безпеки” на телеканалі “ДОМ” обговорили ведуча Тетяна Попова з гостями ефіру: співробітником Центру передового досвіду в галузі кіберзахисту НАТО Яном Вюнше й експертом з кібербезпеки Костянтином Корсуном.

ПОПОВА: - Кібербезпека все більше стає ключовим, а часто й вирішальним для глобального спокою фактором. Тому все частіше саме цю грань світового порядку перевіряють на вразливість. Про найзухваліші хакерські атаки минулого року говоримо сьогодні в програмі «Код безпеки». У нас в гостях експерт з кібербезпеки Костянтин Корсун, по скайпу з Естонії – співробітник Центру передового досвіду в області кіберзахисту НАТО Ян Вюнше. Напевно, найвідоміший злом минулого року – це злом виробника програмного забезпечення Солар Вінд і ФайрАй. Кіберпіратам вдалося розіслати від імені постачальника шкідливі оновлення, за допомогою яких вони зламали дані, щонайменше, 18 тисяч клієнтів. Це й держустанови – наприклад, Міністерство Фінансів Сполучених Штатів, і великі приватні корпорації. Чотири спецслужби США провели спільне розслідування і виявили російський слід у цій атаці. А як ви вважаєте, яке хакерське угруповання може за цим стояти?

Тетяна Попова

ВЮНШЕ: - Навіть на перший погляд абсолютно очевидно, що операція «Сонячний Вітер», або Solar Wind, має всі ознаки ретельно розробленої кібератаки, за якою стоїть ціла держава, або, принаймні, державні установи. Ми вже вираховували подібні проникнення під час так званих логістичних атак. У тому випадку хакери отримували доступ до сертифікатів підпису з кодом для оновлення систем, і таким чином забезпечували злом систем безпеки цілих галузей промисловості. Багато хто вважає, що це була спецоперація, проведена Росією.

Зараз у нас є доступ до прямих доказів, і немає причин сумніватися в їх справжності. Але все ж варто пам'ятати, що спільна заява американських агентств не є офіційним документом, вони лише вказують в ній, що «найбільш ймовірно», що всі ці атаки були частиною спецоперації російського походження, зрежисованою російськими державними організаціями. У цій же спільній заяві зазначено, що дуже важливу роль у розкритті таких операцій відіграє внесок громадськості та окремих людей – такий підхід не просто допомагає здобувати важливі докази атак й інші свідоцтва, а й сприяє встановленню нормального, здорового, відповідального використання інтернету в міжнародному масштабі. Такі атаки повинні мати серйозні наслідки для їх режисерів і виконавців, це – необхідна умова для того, щоб ми були готові успішно відбивати подібні загрози в майбутньому.

ПОПОВА: - А ось цей злом, що ви про нього думаєте? Дійсно праві ці 4 американські агентства в тому, що це були росіяни?

КОРСУН: - Слід одразу звернути увагу на те, що це 4 найбільш авторитетних американських агентства в світі кібербезпеки. У мене немає ніяких сумнівів. Просто не вистачає того, про що говорив колега – офіційних доказів. А офіційні докази (прив'язка конкретної ІР-адреси до конкретної людини) можна отримати тільки через місцевого провайдера, з якого він виходив в інтернет, і він, швидше за все, був на території Російської Федерації. А оскільки Російська Федерація ні з ким із цих питань зараз не співпрацює, крім своїх політичних союзників, то, відповідно, отримати ось цю остаточну крапку, абсолютно остаточну, офіційно для суду прийнятний доказ – не видається просто фізично можливим.

Костянтин Корсун

Але є багато непрямих і майже прямих доказів. Інакше б ось ці американські агентства, вони б не виходили з настільки серйозною заявою. Вони сказали, що це був російський (слід), це була розвідувальна операція і це була Advanced Persistent Threat, тобто тип атаки, який взагалі фізично доступний для реалізації тільки найпотужнішим кіберхакерським групам або розвідкам і урядам.

ПОПОВА: - Масштабним зломом доступу до особистих даних знаменитостей оскандалився минулого літа Твіттер. Розмістивши від імені 36-ти знаменитостей, включаючи Барака Обаму, Джо Байдена, Ілона Маска шахрайську пропозицію, хакери зірвали куш у розмірі кількох сотень тисяч доларів США. Як ви вважаєте, чим закінчиться розгляд цього інциденту для Твіттера?

КОРСУН: - Наскільки я розумію, розгляд ще не закінчено, хоча, швидше за все, внутрішнє розслідування давно проведено, і керівництво компанії зробило висновки. Це приватна компанія, взагалі-то, і вона несе повну відповідальність за дії або бездіяльність своїх співробітників. Питання в тому, як оцінюється збиток з боку потерпілих. Якщо потерпілі подадуть позови на компанію, не просто на відшкодування грошей, а що компанія була винна чи не вжила заходів до недопущення подібних ситуацій, і якщо буде розслідування і суд вирішить, що компанія винна, хоча вона щось повинна була зробити, вона щось не виконала... Я думаю, що компанія Твіттер вжила безліч різних заходів для того, щоб нічого подібного не сталося, але – людський фактор, помилка... все може бути. І ось це предмет, напевно, розгляду зараз.

ВЮНШЕ: - Що ж, для Твіттера це був нелегкий час: в діяльності цієї платформи утворився серйозний пролом. Дана атака також сильно вплинула на інші бізнеси, що покладаються на Твіттер як засіб комунікації. Проте, врешті-решт їм вдалося впоратися з проблемою досить успішно. Джерелом проблеми стала фішинг-атака, спрямована на злом служб клієнтської й технічної підтримки сервісу, мішенню якої стали співробітники компанії, що мали вищий рівень доступу до платформи. Злом системи безпеки на цьому рівні дозволив зловмисникам отримати доступ до акаунтів знаменитостей і розмістити повідомлення від їх імені. Після цієї безпрецедентної атаки Твіттер був змушений повністю змінити алгоритм ідентифікації співробітників платформи – людям довелося заново доводити, що вони насправді є тими, ким є. Компанія ввела механізм двохфакторної ідентифікації за допомогою токена – фізичного ключа авторизації – для отримання доступу до системи управління. Такі ж ключі авторизації отримали й співробітники інших служб компанії.

Дійсно, саме служба техпідтримки часто виявляється найбільш уразливим місцем. Тому я сподіваюся, що як Твіттер, так і інші компанії, які надають послуги в області соціальних мереж, стануть приділяти більше уваги питанням безпеки своїх технічних служб і своєчасному виявленню вразливостей, щоб такі ситуації більше не повторювалися.

ПОПОВА: - Костянтине, чи є система двохфакторної ідентифікації найоптимальнішою для захисту в такій ситуації?

КОРСУН: - Звичайно ні. Залежить, по-перше, від того, який другий фактор: якщо це СМС – це ненадійно; якщо це Viber або ще щось – це більш надійно і так далі. Відповідно найбільш надійно – це Google notification, а ще надійніше – це трьохфакторна (ідентифікація). А деякі маніяки ще й чотирьохфакторну для максимально критичних систем ставлять. Якщо мова йде про криптовалюти, криптобіржі й криптогаманці, зрозуміло – це прямі, живі гроші. І вони анонімні. Тобто якщо зламав чужий гаманець, особливо криптовалют, вони дуже анонімні. Але анонімність грає й проти господаря гаманця, тому що, якщо у тебе викрали гаманець – ти вже ніде нікому, ніколи й ні за яких обставин не зможеш повернути гроші. Тому що так працює криптопротокол, вони в одну сторону. Все, що пішло, ніколи назад не зможе повернутися, тільки якщо одержувач погодиться їх тобі назад повернути. Тому криптобіржі зламують часто.

ПОПОВА: - Хакери Фансі Бер, пов'язані з урядом Росії й військовою розвідкою, разом з північнокорейськими хакерами атакували 7 організацій, що займалися розробкою вакцини від COVID-19. Витоки злому підтвердило Європейське агентство лікарських засобів. Чим загрожують такі атаки? Це комерційне кібершпигунство чи за цим стоїть щось інше?

ВЮНШЕ: - Дивіться: атаки, подібні до тих, що ви привели як приклад, несуть одразу кілька ризиків. Це й комерційні ризики для дослідників, які можуть втратити свою інтелектуальну власність, і небезпека того, що роботи по розробці вакцини можуть бути перервані або відкладені. Також існує ризик того, що на ринок можуть потрапити контрабандні продукти сумнівної якості, виготовлені на основі вкрадених технологій. Наприклад, метою таких операцій може бути підрив роботи дослідних лабораторій або компрометація результатів їхніх розробок і завдання їм моральної шкоди. На мою думку, це просто жахливо, коли криза планетного масштабу, така, як пандемія ковіду, використовується в таких брудних і корисливих цілях, потенційно ставлячи під удар здоров'я мільйонів людей.

ПОПОВА (до Корсуна): - А ви як гадаєте, що це було?

КОРСУН: - Насамперед дивимося, кому вигідно. Вигідно, напевно, країнам, які не розробили вакцину, тому що це довго, дорого і не в усіх країн є такі можливості. Вкрасти формулу, вкрасти інтелектуальну власність, вкрасти дані й на їх основі спробувати зібрати свою вакцину, вже використовуючи, так би мовити, працю і дослідження інших людей... Ось це, власне, метод, яким і Радянський Союз, і його спадкоємиця, правонаступниця Росія, Російська Федерація активно користується ось уже майже 100 років.

ПОПОВА: - Ви вважаєте, що це комерційне шпигунство, умовно кажучи? Або це все-таки government-шпигунство для цілей уряду Росії, аби потім впливати, продавати вакцини іншим країнам?

КОРСУН: - Це, зрозуміло, й ідеологія, і комерція. Тобто ідеологічно це важливо – створити нібито свою, нібито власну вакцину, як свого часу Радянський Союз вкрав секрет ядерної бомби, автомата Калашникова – та видав за свої винаходи. Це методика Радянського Союзу, яка перейшла у спадок Російській Федерації. Вони її активно використовують, тому що це дуже вигідно. Тобто, ти не витрачаєш мільярди доларів на розробку і береш просто результати. Кому вершки, а кому корінці. Ось вони одразу намагаються взяти вершки, майже завжди.

ПОПОВА: - Виробник «розумних» годинників, пристроїв, що носяться, і гаджетів для GPS-навігації Garmin через атаки вимагачів був змушений у липні минулого року призупинити роботу своїх сервісів на кілька днів. У причетності до збою підозрюють угрупування, пов'язане з російськими хакерами. Костянтине, ви звернули мою увагу на кейс з Garmin. Наскільки дійсно хак міг бути пов'язаний з російськими хакерами і з Максимом Якубцем конкретно?

КОРСУН: - Про цей хак відомо відносно небагато. Просто, що він торкнувся величезної кількості користувачів. Але навіщо, для чого це зроблено? Якщо тут причетні російські проурядові хакери – для них ця інформація є надзвичайно важливою, перш за все тим, що подібні сервіси GPS-навігації збирають величезну кількість даних і метаданих про всі сотні, тисячі своїх користувачів, і ці дані завжди цікавили, цікавлять і будуть цікавити розвідки насамперед, які працюють в інтересах своїх урядів. Тобто зібрати знову ж чужі «вершки» у людей, які роками, десятиліттями збирали дані про своїх користувачів (де вони знаходяться, якої статі вони, чим займаються, де ходять, де бігають). А в числі цих користувачів – не тільки прості інженери, там є й лідери держав, і люди, які приймають рішення, і бізнесмени топ-рівня, які користуються всіма цими гаджетами, – і можна визначити, де вони знаходяться, де їхні дії.

ПОПОВА: - Ви думаєте, що це може бути цілком навіть урядове завдання?

КОРСУН: - Цілком. Якщо дивитися з точки зору “кому вигідно”, то це розвідки, безумовно, в першу чергу.

ПОПОВА: - Яне, щось вам про це відомо? Ви можете прокоментувати?

ВЮНШЕ: - Що ж, у мене в самого є годинник Гармін, тому мені було цікаво спостерігати, як компанія відновлювалася після атаки й відновлювала свої сервіси один за іншим, але докладного аналізу ситуації ми не проводили. Я не можу стверджувати, чи стояли за цим Evil Corp або будь-яка інша організація. Зате нам точно відомо, що в 2019 році Міністерство фінансів США ввело санкції як проти самої Evil Corp, так і проти її засновника Максима Якубця, і ці санкції досі в силі. Причиною тому послужив доведений факт, що Максим Якубець брав активну участь в кібератаках, організованих російським урядом. На жаль, це все, що мені відомо про цей інцидент і причетних до нього людей.

Фото: Samuel Corum / Getty Images

ПОПОВА: - Велике спасибі Яне. Нагадаю, що з нами по Скайпу з Естонії включався співробітник Центру передового досвіду в області кіберзахисту НАТО Ян Вюнше.

ПОПОВА: - Скажіть, а які найвідоміші хаки минулого року в Україні відбулися?

КОРСУН: - Я би назвав зломи сайтів Національної поліції 6 областей та Рівненської АЕС. Це все було зрежисовано і дуже грамотно проведено, тому що їх не просто зламали. Зламали їх давно, насправді, й власники цих сайтів навіть не підозрювали про це. Це стандартна практика всіх хакерів, вони як би в напівавтоматичному або в автоматичному режимі зламують слабкі або незахищені сайти. І потім уже дивляться – що це за компанія: «А кого це ми тут зламали, що можна з цього мати?». Але в даному випадку це була як би цілком цільова атака, таргетована, так звана.

ПОПОВА: - А з якою метою це було?

КОРСУН: - Мета була дуже чітка, ясна й зрозуміла. Якраз у ці дні проводилися навчання Rapid Trident 2020. Тобто спільно з американцями, з британцями, з поляками – з нашими партнерами по НАТО проводилися якраз у цьому районі в Рівненській області (не пам'ятаю, на якому полігоні) спільні навчання. І значить, сайти зламали і на різних сайтах у різних областях написали, підмінили оригінальний зміст. Тобто російські хакери підмінили українською мовою все. Щоправда, з помилками, на чому й попалися, до речі. А на сайті Рівненської АЕС написали: «Увага, жителі міста, в якому розташована станція, стався невеликий витік. Але нічого, ви не панікуйте, все під контролем». Знаючи, що люди побачать – і запанікують.

ПОПОВА: - Не тільки Нацполіція, а ще й місцеві органи влади були зламані.

КОРСУН: - Так, зламали, відповідно, районну адміністрацію місцеву і на її сайті написали те ж саме: новина про атомну станцію, що якась невелика аварія, ви не хвилюйтеся, якщо що – всіх евакуюють, і так далі. Але в оригіналі звучало “Варишська міська рада”, а наші північно-східні “друзі” написали: «Варишская міська дума».

ПОПОВА: Як «поребрик»... Щоразу вони спотикаються об «поребрик».

Телеканал ДІМ

Перше фото: EPA