Злам найбільшого в Україні мобільного оператора показав нашу вразливість до кібератак і вкотре довів, що, окрім конвенційної війни, триває і кіберпротистояння.

Тепер для українців поняття “блекаут” — це не лише відсутність електрики, а й неможливість під’єднатися до базових станцій мобільного зв’язку.

Ранок 12 січня почався зі збою в мережах “Київстару”. Недоступність мобільного зв’язку цього оператора зачепила не лише понад 20 мільйонів його абонентів, а й банкомати, POS-термінали й інші сервіси та послуги.

Сьогодні, через 36 годин після перших повідомлень про проблеми, мережа майже відновилася. Цей час, мабуть, здавався нескінченним для пересічних клієнтів компанії, які не могли зв’язатися з ріднею, викликати таксі чи перевірити електронну пошту.

Проте насправді ці 36 годин, які знадобилися такому гіганту для відновлення після серйозного зламу, стали доказом його стійкості в складних умовах.

Продумана кризова комунікація, оперативне інформування всіма можливими каналами зв’язку й доволі швидке відновлення — це кейси, які будуть показувати в бізнес-школах, аналізувати експерти й вивчати принаймні комунікаційники. І це ще раз довело, що нинішня стійкість України, її бізнесів і звичайних людей-фахівців — те, чого світові варто повчитися в нас.

Компанія вийшла з надскладної ситуації з мінімальними втратами — як репутаційними, так і технічними. Проте, щоб таке не повторилося в меншому чи більшому масштабі, варто зрозуміти, що саме відбулося цими двома грудневими днями й наскільки захищені від повторення ситуації інші українські структури.

Тиждень розбирався, що ж відбулося з “Київстаром”, разом з Костянтином Корсуном — одним з найпомітніших українських експертів з кібербезпеки, у минулому керівником підрозділу боротьби з кіберзлочинністю в СБУ, засновником першого центру реагування на надзвичайні ситуації в Держспецзв’язку.

Обмін кібернападами

12 грудня стало відомо, що кіберпідрозділи Головного управління розвідки Міністерства оборони України успішну атакували податкову систему Росії: проникнули на центральний сервер Федеральної податкової служби, заразили його шкідливим програмним забезпеченням і видалили багато важливої інформації та одночасно паралізували зв’язок між центральним офісом російських податківців у Москві й 2300 російськими територіальними управліннями. Імовірно, операція відбулася раніше, а 12 грудня в ГУР про неї лише розповіли публічно.

Того ж дня із самого ранку відбулась атака на “Київстар” і вже орієнтовно опівдні російське хакерське угруповання “Солнцепек”, дотичне до російських спецслужб, узяло на себе відповідальність за напад і виклало скриншоти, які мали б це довести. Цей факт підтвердили й в СБУ.

“Солнцепек” — хакерський підрозділ Головного розвідувального управління російської армії, такі структури ще називають хакерами, спонсорованими державою (state-sponsored hackers).

Ступінь деструктивності атаки оцінити наразі важко, навіть попри 36-годинну відсутність зв’язку, проте той факт, що тривалий час не працював мобільний зв’язок для абонентів компанії, свідчить про серйозний злам, спрямований на знищення.

Уже орієнтовно опівдні 12 грудня повідомлялося про те, що відбулося руйнування ІТ-інфраструктури компанії. Інакше кажучи, нападники знищили систему, яка управляла роботою “Київстару”.

Чи став збігом такий обмін кіберударами між двома сторонами в стані війни, Тиждень поцікавився в Костянтина Корсуна. Експерт пояснив, що наразі в Україні триває не лише війна, а й кібервійна: “Офіційним часом початку кібервійни експерти називають травень 2014 року — позачергові вибори президента України, коли російські хакери намагались атакувати сервери ЦВК. То ж не дивно, що в цій тривалій кібервійні ми спостерігаємо успіхи супротивника, до яких можна зарахувати атаку на “Київстар”. Варто розуміти, що такі напади зазвичай готуються місяцями й те, що після успішного зламу Федеральної податкової служби Росії фахівцями ГУР відбулась атака на “Київстар”, найімовірніше, певний збіг. Можна сподіватися, що розслідування покаже, чому напад відбувся саме цього дня й у цей час”.

Дещо про організацію атаки та її деструктивний вплив

ІТ-система захищена настільки, наскільки захищена її найслабша ланка. Саме ця банальна фраза проявилася в нападі на “Київстар”. За словами генерального директора компанії Олександра Комарова, системи були атаковані через скомпрометований акаунт одного з працівників, завдяки якому ворог потрапив усередину.

Керівник компанії не каже, чи йдеться про інсайдера, який навмисне віддав доступ до внутрішніх систем ворогові, чи це була висококласна атака із застосуванням методів соціальної інженерії.

Костянтин Корсун пояснив нам, як плануються й реалізуються такі атаки: “Зазвичай такі кібернапади проходять за добре відомими сценаріями. Якщо забути про дорогий за вкладеннями шлях — купівлю 0-day-вразливостей та їхню експлуатацію (тобто таких, які ще не відомі експертам з безпеки й для яких не розроблені патчі / оновлення, які їх усувають), то найчастіше основним вектором атаки є стара добра соціальна інженерія. Зловмисники аналізують соціальні мережі, починаючи з ділових на кшталт LinkedIn, щоб знайти співробітників компанії, яку планують атакувати. Далі шукають акаунти цих людей в інших соцмережах, дивляться спільні фото, намагаються знайти електронні адреси — як особисті, так і корпоративні. Наступний етап — це надсилання повідомлення або в соцмережу, або електронною поштою із зараженим посиланням. Мета такого кроку — отримати доступ до робочої пошти співробітника компанії, а через неї потрапити в систему. Далі відбувається підвищення привілеїв, щоб отримувати доступ до більш важливих і вразливих ресурсів. На цьому етапі можна довго бути всередині системи, спостерігати за нею, отримувати певні дані.

Відповідно до цієї схеми, ми не можемо знати, як довго зловмисники були всередині систем “Київстару” й чому вони обрали не спостерігати, а провести злам — тотальне знищення”.

Експерти з безпеки стали аналізувати оприлюднене хакерами із “Солнцепека”. Наприклад, у каналі @Hackyoumom, яким опікується експерт з безпеки Микита Книш, ідеться про те, що зловмисники отримали доволі серйозні повноваження всередині систем “Київстару” — “і до Бекапів і майже до всього. Можливо працював інсайдер”.

Окрім того, автор каналу додає: “З тих скрінів зрозуміло що противник ПОВНИЙ ідіот. Чому? Бо маючи такий рівень доступу можна було сидіти в системі роками. Перехоплювати трафік, отримувати геолокацію та дані абонентів, а вони тупо все потерли… Миттєва вигода замість тактичних та стратегічних цілей — стабільний #АНАЛоГОВНєт такі речі як тактика, логіка, планування у цій операції не були використані від слова зовсім”. 

Погоджується із цим і Шон Таунсенд, експерт з кібербезпеки, колишній спікер Українського кіберальянсу, а нині військовослужбовець ЗСУ: “Це була одна з найдурніших атак в історії хакінгу”. Проте Шон додає: “Якщо ці скриншоти є справжніми, то в “Київстарі” влаштовано все так само, як і в будь-якій іншій пострадянській лавці, тобто безпека не просто погана чи дуже погана, її ніби й не було”.

Натомість Костянтин Корсун вельми скептично ставиться до опублікованого зловмисниками: “Зважаючи тільки на скриншоти, які опублікували “Солнцепек”, не можна сказати, наскільки серйозний цей злам, звідки ці скриншоти й наскільки вони свіжі. Я був би скептичний до їхніх вихвалянь успішністю операції”.

Кібернебезпечні уроки для всієї країни

У цій атаці є інші позитивні моменти, про які згадують експерти, а саме можливе зростання інтересу до кібербезпеки загалом як з боку приватного бізнесу, так і з боку держави. А це особливо важливо під час війни й тоді, коли міністр цифрової трансформації так і не заперечив сказану ним зопалу фразу, що роль кібербезпеки перебільшена.

Ми поцікавилися в Костянтина Корсуна, наскільки вразливими є інші компанії / інші об’єкти критичної інфраструктури, тобто чи може щось подібне відбутися знову: “Щоб ситуація не повторилася, у кібербезпеку треба вкладати гроші й ресурси, навчати співробітників і тестувати системи. Окремі українські компанії, які це розуміють, є краще підготовленими, наприклад банки й мобільні оператори. Саме їх атакують доволі часто. Якщо немає фінансів чи бажання вкладатися в кібербезпеку, то ці структури є незахищеними. Критичними об’єктами є не лише мобільні оператори чи енергетичні об’єкти, які теж звикли до кібератак. Це також транспорт, харчова промисловість, інші галузі, які рідше атакують і, відповідно, які будуть менш готові до нападів. Інакше кажучи, якщо кібербезпека є критично важливою для виживання бізнесу, тоді й захист буде вищий. Хоча повністю захищеним у країні не може бути ніхто.

Складно оцінити загальний рівень кібербезпеки в країні — це як вимірювати температуру в середньому по лікарні. Але я сказав би, що вона в нас все ж нижче бажаного середнього. Ініціатива #Fuck Responsible Disclosure (#FRD — допомога держструктурам з кіберзахистом) не дала бажаних результатів”.

Життя в умовах кібервійни

Із запитанням, що робити пересічним користувачам, ми звернулися до Павла Бєлоусова, експерта з питань цифрової безпеки в Nadiyno.org: “Хакерські війни й атаки дедалі більше впливатимуть на наше життя, оскільки дедалі більше й більше галузей цифровізується. Усе, що підʼєднано до інтернету або обʼєднано мережею, буде атакуватися. Розбиратися в причинах, підходах тощо нам звичайним громадянам є сенс, але не передовсім. Насамперед ми маємо розуміти, як зменшити і ці ризики, і збитки або вплив від таких атак, як на “Київстар”, і тих, які ще будуть на інші компанії також.

Насправді глобально тут усе просто: треба мати резерв / запасний варіант. Краще, якщо цей запасний варіант ще й на іншій техніці. Наприклад, у нас є мобільний телефон, до нього принаймні до перемоги треба мати дротовий (стаціонарний) телефон. Мобільним загрожують компʼютерні віруси, дротовим — сокира, якщо спростити різницю. Так має бути в усьому, від чого суттєво залежить наше життя. В умовах війни — це не є якимись зайвими тратами, це інвестиція у виживання. Умовно, у вас щось сталося зі здоровʼям, а ви не можете з мобільного викликати швидку. Скільки віддали б у такий момент грошей, щоб мати можливість зателефонувати? Ціна вас не цікавила б. Тому варто мати запасні варіанти для звʼязку: ще один інтернет-провайдер на іншій техніці; додаткову SIM-карту; стаціонарний телефон; запас води й фільтр для неї, якщо раптом доведеться топити сніг, тощо.

Сьогодні ми дедалі більше відчуваємо вплив онлайну на життя в офлайні, тому просто зобовʼязані думати про ці речі, думати заздалегідь. Усі ці витрати за ціною двох чашок кави на місяць — інвестиція у ваше життя”.

Надія БАЛОВСЯК

Тиждень