Віктор Жора, заступник голови Держспецзв’язку

Під час кібератаки працювала не одна група хакерів, і кожна займалася «своїм» вебсайтом

Насправді в Україні це ніколи не припинялося. Російсько-українська кібервійна, якщо йти з 2014 року, може мати свою періодизацію, свої гарячі фази,  особливості (напади росіян часто відбувалися на якісь державні свята), паузи. І, до речі, видимі наслідки атак у нас завжди ліквідовують протягом двох-трьох днів.

Кібератака, яка відбулася з 13 на 14 січня, особлива тим, що це – перша настільки масштабна операція вже за часів нової влади. Зрештою, це був хоч і дорогий, але оптимальний спосіб нагадати топ-чиновникам те, що вже десять років закріплено у документах НАТО: кіберпростір – новий простір бойових дій. Остання атака - наче пробний камінь наших можливостей на тлі розмов про ймовірний наступ Кремля. Неофіційно, в соцмережах, дискусіях, ютуб-каналах у професійної спільноти не виникає сумнівів у “російському” походженні атаки.

Сьогодні, коли робота вебресурсів відновлена, ми обговорюємо подію із заступником голови Державної служби спеціального зв’язку та захисту інформації України з питань цифрових трансформацій і цифровізації Віктором Жорою.

КІБЕРАТАКИ - ЧАСТИНА ВЕЛИКОЇ ІНФОРМАЦІЙНО - ПСИХОЛОГІЧНОЇ СПЕЦОПЕРАЦІЇ ПРОТИ УКРАЇНИ 

– Події, які сталися з 13-го на 14-те - це розморозка кібервійни, адже майже два роки не було масштабних інцидентів?

– Це продовження кіберагресії, яку ми спостерігаємо впродовж останніх восьми років, і досвід цих років дає нам можливість говорити, що ця кібератака може бути тільки першою фазою. Подібні інциденти є більшим, ніж просто кібератаки. Це – частина великої інформаційно-психологічної спецоперації проти України.

– Що відомо про атаку? Як вона відбувалася? Видається неможливим, що все розпочалося 13 січня – і одразу впало 70 сайтів. Напевно ж «малварь» чи її якийсь “імплант” сиділи в державних системах раніше, і на 13-те їх лише запустили?

– Ми маємо достатньо обґрунтувань, що доступ до інфраструктури компанії, яка надавала послуги з адміністрування вебсайтів, був отриманий раніше, а зловмисниками була підготовлена подальша операція, подальші дії. Ми продовжуємо вивчення логфайлів і даних, які ми зібрали з інфраструктури цієї компанії, для того, щоб визначити точну дату.

Ми маємо підтвердження, що працювала не одна група хакерів, кожна з яких займалася «своїм» вебсайтом, «своїм» відомством.

Простіше кажучи, завчасно була протоптана стежка, якою згодом, в ніч з 13 на 14 січня скористався хакерський загін. Водночас ми розуміємо, що більша частина деструктивних дій щодо нашої інфраструктури була здійснена впродовж короткого періоду, власне – за кілька годин вночі 14-го січня.

– Під час розслідування пролунали різні версії: що атака була здійснена через розробника багатьох хакнутих сайтів Кitsoft, через плаформу October CMS. Майкрософт пише про вірус-вимагач... Що про нього вже відомо? На які атаки, вже пережиті Україною, це було схоже?

– Як уже зауважили багато аналітиків, багато в чому ця атака схожа на атаку NotPetya, яка відбулася 27 червня 2017 року (тоді за різними оцінками, шкода сягала понад 400 млн дол, а внаслідок атаки було виведено з ладу понад дві тисяч комп’ютерів. Ред.). Про це свідчить і схема реалізації атаки, а саме – атака на ланцюжок поставок (supply chain) і використання програмного забезпечення, яке маскується під шифрувальник-вимагач, але насправді є вайпером, тобто програмою, яка знищує дані на уражених робочих станціях і серверах.

Дії, які ми спостерігали впродовж атаки, дають нам всі підстави стверджувати, що вони були частиною однієї комплексної атаки, в рамках якої використовувалися і дефейс вебсайтів, і знищення даних за допомогою спеціальної програми-вайпера, і ручне знищення зовнішньої інфраструктури низки міністерств і відомств.

РОЗСЛІДУВАННЯ АТРИБУЦІЇ І ОСТАТОЧНЕ З’ЯСУВАННЯ, ХТО САМЕ І ЯКИМ ЧИНОМ ЗДІЙСНИВ ЦЮ АТАКУ, ЩЕ ТРИВАЄ

– У звіті Майкрософт зазначається: «Ми не знаємо, на якому етапі операційного циклу цей вірус зараз перебуває, а також скільки інших організацій в Україні чи інших регіонах могли бути уражені внаслідок його дії". Тобто по факту ми не знаємо глибини проникнення та обсягів ураження? А якщо так, то чи зможемо ми попередити ймовірні небезпеки?

– Майкрософт, справді, виклав лише ту частину технічного аналізу, яка була доступна на 16 січня. Пізніше детальне розслідування було опубліковано Cisco Talos у своєму блозі. Ми, маючи зразки цього шкідливого програмного забезпечення, зі свого боку теж провели ґрунтовне розслідування щодо використання цього шкідливого ПЗ в рамках атаки. Його результати оприлюднені на сайті урядової команди реагування на надзвичайні комп'ютерні події CERT-UA. Проте розслідування атрибуції і остаточне з’ясування, хто саме і яким чином здійснив цю атаку і несе відповідальність за її організацію, ще триває.

Тобто, незважаючи на безумовно наявні факти щодо походження цієї атаки, ми продовжуємо збирати беззаперечні докази причетності країни-агресора до атаки.

– Чи зрозумілою є кінцева мета нападників? Які у вас версії?

– Ми розглядаємо цю атаку як частину великої інформаційно-психологічної спецоперації, яка має кілька цілей. Перша  – дезінформація, намагання посварити нас з нашими стратегічними партнерами – з Республікою Польща – через розміщені на вебсайтах провокаційні матеріали і через поставлений в координатах картинки т.зв. false flag, тобто, хибний флаг, який нібито мав би вказувати на те, що цю картинку підготували у Варшаві. Це одразу відстежується, і такі спроби фактично шиті білими нитками. Мені здається, що ця частина операції була неуспішною. 

Друга – це демонстрація сили, демонстрація того, що кібероперації можуть бути використані в Україні в значно більшому масштабі та здатні супроводжувати потенційну військову агресію. Атака також мала на меті завдання якомога більшої шкоди інфраструктурі. В іншому випадку нападники обмежилися б дефейсом вебсайтів, однак вони пішли далі та спробували знищити дані й ІТ-інфраструктуру.

І третя ціль – дестабілізація ситуації у країні, сіяння хаосу, розбрату і невпевненості суспільства у спроможності влади захистити державні інформаційні ресурси. Власне з цим я пов’язую всі інсинуації стосовно можливого витоку даних, спотворення даних у реєстрах, стосовно масштабу наслідків кібератаки і т.д. Зараз ми продовжуємо спостерігати вже безпосередньо інформаційну частину цієї операції. 

– А не може бути такого, що вони тестували наші сайти, аби потім хакнути SCADA-системи об’єктів критичної інфраструктури?

– Ми приділяємо питанню захисту критичної інфраструктури і, зокрема, у сфері енергетики дуже велику увагу. Кілька років тому Україна вже мала сумний досвід атак на енергетичну інфраструктуру. І ми розуміємо, що у випадку повномасштабної агресії їх можуть супроводжувати кібератаки на такі об’єкти. Я не хотів би нагнітати ситуацію, яка і без того є досить складною. Але, безперечно, ми очікуємо на подальші кроки. Втім, я все ж хотів би сподіватися, що атака буде поодинокою, за нею не відбудуться більш суттєві.

На цей момент органи влади разом з суб’єктами національної системи кібербезпеки відновлюють вебсайти та ІТ-інфраструктуру багатьох відомств. Відновлено доступ до реєстрів, які не працювали певний період часу. Тобто, фактично, можна сказати, що фаза оновлення нами вже відпрацьована. Зараз на повний хід іде фаза розслідування, яка є дуже важливою з огляду на необхідність проведення атрибуції - тобто визначення тих, хто безпосередньо відповідальні за організацію та проведення цієї кібератаки.

КОЖЕН ГРОМАДЯНИН, ДЕРЖСЛУЖБОВЕЦЬ, ОФІСНИЙ ПРАЦІВНИК МАЄ УСВІДОМЛЮВАТИ, ЩО ВІН Є ОСТАННЬОЮ ЛАНКОЮ КІБЕРБЕЗПЕКИ

Давайте згадаємо все те, що відбувалося наступні три дні після атаки. У п'ятницю ціллю були сайти міністерств, в суботу – КВЦ «Парковий», увесь центр Києва годину-дві був без інтернету...

– Ми, справді, фіксували низку поточних атак, які відбувалися упродовж наступних трьох днів після кібератаки 14 січня, на відомства, які постраждали внаслідок нічної кібератаки. З одного боку, це дає нам підстави стверджувати про продовження атаки. А з іншого, ми не можемо виключати, що це може бути збігом.

– Я пам’ятаю, що після атаки NotPetya (теж досить руйнівної) представники фірми Медок ходили по всіх безпекових конференціях, вибачалися, пояснювали. Хтось буде вибачатися після цієї атаки?

– Розслідування, яке проводять правоохоронні органи, встановить всіх відповідальних. Я щиро сподіваюся, що воно дасть відповіді на запитання, яким чином зловмисники змогли проникнути до інфраструктур міністерств та відомств України, щоб завдати шкоди державним інформаційним ресурсам. Але насправді остання атака має бути дзвінком для кожної людини.

Держава повинна забезпечити фінансування та організацію кіберзахисту державних інформаційних систем та об'єктів критичної інформаційної інфраструктури. Але кожен громадянин, держслужбовець, офісний працівник має усвідомлювати, що він є останньою ланкою в питаннях кібербезпеки. Наскільки складний пароль використовує, чи відкриває вкладення від незнайомих людей, як часто міняє пароль, чи робить резервні копії, чи використовує ліцензійне ПЗ, чи використовує менеджер паролів, двофакторну ідентифікацію, чи виконує базові правила кібергігієни. Коли розуміння власної відповідальності буде у кожного громадянина, нам буде значно легше здійснювати кіберзахист, а громадянину - контролювати захист органів державної влади.

– Ну, так. Але людей спочатку треба навчити.

– Безперечно. Міністерство цифрової трансформації має багато просвітницьких ініціатив у сфері кібергігієни. Мінцифри готове запустити функцію єЗахист, яка містить рекомендації для кожного громадянина у сфері кібербезпеки. Є багато онлайнкурсів, відео, які допомагають підвищити грамотність. Безперечно, така підготовка має здійснюватись, починаючи з дитячого садка.

– Хто допомагав у ліквідації наслідків? Зазвичай, вночі з нами працювали партнери із своїми «таємними валізками». Хтось був цього разу? Були у нас партнери?

– Оновленням переважної більшості інфраструктур і обслуговуванням сайтів займалися фахівці міністерств та органів виконавчої влади і державних установ. Максимальна допомога їм була надана з боку Держспецзв’язку, Служби безпеки України, кіберполіції, розробника вебсайтів, Міністерства цифрової інформації. Це була злагоджена робота основних суб’єктів національної системи кібербезпеки разом з відповідальними особами міністерств і відомств. 

Держспецзв’язку запропонували справді широку допомогу: і наші іноземні партнери, і комерційні структури, які спеціалізуються на кібербезпеці. Ми дуже вдячні і цінуємо ці пропозиції допомоги. Низка компаній, з якими у нас укладено меморандуми про співробітництво, були залучені для отримання додаткової інформації про кіберінцидент. Так само ми ведемо комунікацію з міжнародними партнерами. Сподіваюся, що ця співпраця, по-перше, дасть нам змогу зібрати якомога більше цифрових доказів, провести якомога ретельніше розслідування цієї кібератаки. По-друге, дозволить нам зробити якісну атрибуцію та вийти з офіційними заявами щодо встановлення “спонсорів” кібератаки. Громадянам України важливо розуміти ризики і наслідки, до яких можуть призводити кібератаки, бачити здатність і можливість держави протистояти таким викликам.

І важливо це не лише для нас, а й для міжнародної спільноти, оскільки кібербезпека – це глобальне питання, питання міжнародної співпраці. І ми чудово розуміємо, що Україна – не єдина держава у світі, проти якої здійснюються атаки такого рівня та інтенсивності. Водночас, ми хочемо, щоб наші партнери також були у безпеці й були поінформовані щодо методів, якими можуть бути атаковані інфраструктури цих країн.

НАД БЕЗПЕКОЮ «ДІЇ» ПРАЦЮЄ КВАЛІФІКОВАНА КОМАНДА ФАХІВЦІВ З КІБЕРЗАХИСТУ

– Запитання про портал та мобільний додаток «Дія».

Низка ЗМІ повідомила, що внаслідок атаки «Дію» було теж зламано, а частину персональних даних вкрадено. Кіберполіція це заперечує. Натомість в даркнеті пропонують за десятки тисяч доларів архів вкрадених даних, частина з яких начебто з «Дії».

«Дія» все-таки стала якось частиною нашого життя. Але чи не є заяви про її безпеку дещо перебільшеними? Ваші колеги, у чомусь критики, роблять аналітику, де наводять вразливості «Дії», і ці висновки будуть оприлюднені.

– Ми повинні розуміти, що бездоганного програмного забезпечення не існує. Але питання у тому, скільки уваги ми готові приділяти побудові тих чи інших інфраструктур, наскільки безпечною є розробка.

Наразі того, що ви назвали аналітикою щодо вразливості, немає. Але якщо буде, то з інтересом подивлюся на неї. Над безпекою «Дії» працює кваліфікована команда фахівців з кібербезпеки. Крім того, оголошено відкритий пошук вразливостей, в якому можуть взяти участь фахівці, і ми готові будемо обговорювати і за потреби враховувати результати їхньої роботи. Щодо архіву, який продається, то, на моє переконання, продається так звана “склейка”. Тобто коли старі дані (дані старих витоків) скомпільовані з новими, походження яких ще треба встановити. І я би був дуже обережний у твердженні, що ці дані походять з тієї чи іншої системи.

Але важливо інше. Публікація цих дампів (баз) на форумах з метою продажу свідчить про те, що справжні організатори атаки хочуть подати її як комерційну історію. Нібито ці дані вкрали з метою продажу, і конкретна держава, яка, скоріше за все, таким чином продовжує свою агресію, тут ні до чого.

– Я недавно слухала подкаст, де фахівці аналізують атаку й ймовірність ураження «Дії». Це була не політична, а більше технічна розмова. Вони не припускали, що на «Дію», яка є по суті “тунелем” від реєстру до вашого смартфону, поставили шкідливе ПЗ і крали персональні дані. Хоча теоретично таке можливо. Вони припускають, що «Дія» зберігає якісь кешовані фрагменти запитаних даних, які можна вкрасти. Може, краще зробити колаборацію і без дратувань та взаємопоборювань разом усім товариством її якось “фіксити”? Є у вас рефлексії, план на покращення?

– Ми запрошуємо до співпраці всіх фахівців у сфері кібербезпеки, яким це цікаво, і для яких це є важливо. І вони відгукуються. Вони не дуже відомі публічному загалу, не афішують своєї співпраці, але в наших колах їх добре знають.

Усі системи, які постраждали внаслідок атаки, було переведено на нову досконалішу інфраструктуру, і вони будуть відповідним чином захищені. Також ми розуміємо, що це не лише питання того чи іншого застосунку чи вебсайту. Це – цілий комплекс проблем, на перетині кібербезпеки, питань кадрового забезпечення, фінансування проєктів з кібербезпеки, кібергігієни. Тому ми оперативно напрацювали пакет заходів і винесли його на розгляд РНБО. Паралельно ми працюємо над законодавчими змінами, щоб у подальшому унеможливити атаки чи мінімізувати наслідки.

Лана Самохвалова, Київ