• 13 декабря 2017 года, среда

Украина стала полигоном для испытания кибероружия

Кибератака вирусом Petya.A поразила больше 12 000 компьютеров в Украине, парализовав работу ряда крупных компаний, банков и даже Кабмина. Почему это случилось и как избежать подобного в будущем?

В Украине произошло чрезвычайное событие – наша страна стала центром кибератаки, аналогов которой до этого не было во всем мире. Осколки атаки разлетелись по всему миру, но центром стала именно Украина, в частности, ее корпоративный сектор. 

Тем, кто долгие годы пренебрегал принципами информационной защиты, но при этом не стал объектом атаки, не оставалось ничего другого, как отключаться от сети, чтобы избежать возможного проникновения агрессивной программы.  

Примечательно, что хакеры по традиции выставили требование о выкупе ($300 в биткоинах) за то, чтобы разблокировать зараженные компьютеры. Однако вознаграждение оказалось лишь ширмой. В действительности их скорее интересовала реакция пользователей и локальных сетей: как идет процесс заражения и как быстро инфраструктура может быть восстановлена. Следовательно, такие случаи могут повториться. 

«В наш департамент за помощью обратилось порядка двух тысяч организаций и физических лиц. Большинство из них – это корпоративный сектор и государственные компании. Мы сейчас плотно работаем с коллегами из ФРГ и США относительно отработки почтового сервиса, который распространял вирус и биткоинкошелька, куда преступники предлагали сбрасывать деньги за разблокировку компьютеров», – поясняет заместитель начальника Департамента киберполиции Геннадий Дубок. 

Создается впечатление, что Украина стала площадкой для преступников, испытывающих новые виды кибернетического оружия. Так или иначе, это событие сразу поставило вопрос: есть у нас в стране хоть какая-то кибербезопасность и есть ли структуры, которые ее осуществляют и несут ответственность в случае подобных ситуаций? 

Отсутствие государственной политики 

Пользователи оказались практически полостью неготовыми к такому развитию событий, хотя предупреждений о возможности подобных акций было много. «Эта киберататка вне всякого сомнения является частью гибридной войны. Серьезность намерений и дальновидность разработчиков этого вируса подтверждается тем, что заражение компьютеров украинских организаций произошло еще 2-2,5 года назад. Активировали его только сейчас», – утверждает глава Комитета Верховной Рады по вопросам информатизации и связи Александр Данченко. 

И это уже далеко не первая атака на объекты нашей инфраструктуры. Правда, раньше они не достигали таких мастштабов. «Последняя кибератака была совершена в декабре прошлого года и Кабмин выделил 80 млн гривен на устранение потерь, а также разработку защиты. Куда эти средства делись – непонятно», – напоминает Данченко. 

Сейчас в разработке находится законопроект об основных принципах кибербезопасности. Правда он только вводит базовые понятия, а не регулирует саму безопасность. Но даже принятие этого поверхностного во всех смыслах документа депутаты умудрились провалить из-за отсутствия кворума в Верховной Раде. 

«Проблема координации в области кибербезопасности большая. Я считаю, что если бы парламент не служил отдельным олигархическим кланам, то этот вопрос можно было бы решить куда проще и быстрее. К сожалению, силовые структуры в Украине частично контролируются БПП, частично «Народным фронтом», поэтому найти 226 голосов для концентрации усилий пока найти нереально», – продолжает Данченко. 

Кроме того, кибербезопасность это еще и технические средства, которых также нет. По всей видимости, в госбюджет на следующий год нужно будет специально закладывать определенные объемы средств, чего до этого не делалось. 

Кибернетическая халатность 

Всех беспокоит вопрос в том, как эта атака могла достигнуть таких масштабов. Ведь о наличии уязвимости каналов, через которые этот вирус-псевдовымогатель внедрился в локальные сети украинских компаний, Microsoft предупреждал задолго до самой атаки. 

«Мы об этом анонсировали не только в Украине, а по всему миру. Соответствующие патчи по защите от вероятной атаки были выпущены компанией давно», – говорит директор по вопросам технологической политики Центрально-Европейской группы стран Microsoft Михаил Шмелев. 

Как же получилось так, что о вирусе было известно, обновления были установлены, но атака прошла успешно? Все дело в специфике вируса. 

«Этот вирус, несмотря на свою «детскость» в исполнении, очень качественный. Несмотря на то, что все технологии при разработке и распространении этого вируса были известны, именно уникальное их сочетание и привело к печальным последствиям», – поясняет основатель компаний «Инком» и «Датагруп» Александр Кардаков. 

Другим важным моментом являются каналы проникновения. Дело в том, что часто обновления ПО идет не напрямую от разработчика, а через поставщиков доверенных услуг. Апдейт со стороны этих поставщиков требует административных прав. Конечный пользователь ставит поставщиков доверенных услуг в исключение на блокировку и через них вирус в итоге беспрепятственно проник в системы и компьютеры. 

«То есть достаточно было заразить поставщиков услуг, а не каждый отдельный компьютер, чтобы атака приобрела массовый характер. Ничего не подозревающие компании могли только наблюдать, как сыпятся их сети», – комментирует Шмелев. 

Это подтверждается практикой. Например, в НБУ заявил, что атакам подверглись порядка 30 банков, то есть треть всех банковских учреждений в Украине. Но есть банки, напрямую сотрудничающие с Microsoft, которых атака не коснулась вообще. Атака также не причинила вреда и госучреждениям, пользующимся напрямую платформами корпорации.  

Среди основных причин, которые защитили от атаки, можно выделить внутреннюю политику компаний-пользователей по обновлению продуктов против атак. Все пользователи, которые ставили обновление сразу и без заминок не пострадали. Те компании, где долго принимались решения по политике обновления, из-за задержек оказались не готовыми принять удар хакеров. 

Несмотря на то, что стояли патчи, стояли антивирусы, которые уже знали сигнатуры этого вируса, он проник. Все дело в том, что системные администраторы ставили для облегчения жизни сотрудников компаний исключение на блокировку сигнала. Никто не догадывался, что с входящим сигналом в сети проникало вредоносное ПО – оно просто не фиксировалось. 

Новинкой оказалось и время распространения внутри локальных корпоративных сетей. В большинстве случаев это считанные минуты, что гораздо быстрее, если сравнивать с предыдущими атаками. Самые большие корпоративные сети были поражены меньше чем за час. 

В итоге, мы имеем старый добротный вирус на обычных уязвимостях, использующий для проникновения все возможные каналы обновления программного обеспечения. Факт проникновения не фиксировался ни одним из работающих антивирусов. Только в момент активации защита среагировала, но было уже поздно. 

Можно ли сделать действенную систему защиты от подобного? Теоретически это возможно. Но для этого необходимо контролируемое программное обеспечение, в первую очередь для государственных структур. За счет своевременных обновлений можно исключить проникновение вредоносного ПО. 

Но помимо этого, надо также привить элементарную грамотность в сфере кибербезопасности. У нас до сих пор не выбрана модель защиты от подобных атак. Да, в Украине есть центр, который призван координировать противодействие кибератакам, но мы до сих пор не понимаем каким образом проводится эта работа и осуществляется ли она вообще. Пока государство не возьмет вопрос кибербезопасности под строжайший контроль, Украина продолжит оставаться полигоном для вредоносных экспериментов.

 

 

19 Августа / Лента новостей

Все новости
TodayNews в соцсетях