Кибератака на Украину. Что узнала Microsoft

Массированная кибератака на украинские правительственные сайты могла быть отвлекающим маневром, считают эксперты.

Сайты государственных органов Украины подверглись кибератаке, несмотря на многолетнюю помощь Запада по усилению кибербезопасности. Хакеры атаковали 70 сайтов центральных и местных органов исполнительной власти Украины.

Первые результаты расследования компании Microsoft выявили свидетельства внедрения разрушительного вредоносного программного обеспечения в системы множества организаций в Украине. Корреспондент.net рассказывает подробности.

В кибератаке подозревают белорусов, обвиняют Россию

В ночь на 14 января кибератаке подверглись около 70 сайтов центральных и региональных органов власти Украины, что стало самой мощной за последние несколько лет.

В частности, не работали сайты правительства, министерства иностранных дел, министерства образования и науки, Минэнерго, Минагрополитики, министерства по делам ветеранов, сайт Госказначейства и сайт госуслуг Дія. 

В Госспецсвязи и Киберполиции утверждают, что контент сайтов не тронут, и хакеры не получили доступ к реестрам, где хранятся данные украинцев. Единственное заметное действие хакеров - картинка с текстом на украинском, русском и польском языках о мести украинцам "за прошлое, настоящее и будущее".

Андрей Баранович из Украинского киберальянса согласен с заявлениями украинских властей. По его мнению, хакеры просто получили доступ к сайтам и вывесили на них картинку.

Артем Старосек, CEO компании Molfar, занимающейся аналитикой в сфере IT, отмечает, что уязвимость, через которую взломали сайты украинских ведомств, дает частичный, не самый критичный доступ к сайтам. Однако вопрос в том, хранились ли данные на том же сервере, к которому хакеры получили доступ.

Украинские власти хакерскую атаку связывают с Россией и Беларусью. Замсекретаря СНБО Сергей Демедюк говорит, что кибератаку могла совершить хакерская группировка, связанная с белорусской разведкой.

Действия группировки UNC1151 были "лишь прикрытием для более разрушительных действий, которые происходили за кулисами и последствия которых" Украина ощутит в ближайшее время, подчеркнул он.

Демедюк, который ранее был главой Киберполиции Украины, сказал, что в послужном списке UNC1151 есть нападения на Литву, Латвию, Польшу и Украину. Кроме того, киберпреступники распространяли материалы, осуждающие присутствие альянса НАТО в Европе.

При этом он заявил, что нападение на украинские правительственные сайты напоминает атаки хакерской группировки ATP 29.

По мнению западных спецслужб, это связанная с российскими спецслужбами структура, также известная как Cozy Bear, которая в прошлом стояла за кибератакой на серверы Демпартии США в 2016 году. Летом прошлого года она также попыталась взломать компьютеры Республиканской партии.

Эксперты американского агентства по кибербезопасности Mandiant не исключают связи UNC1151 с российскими структурами, поскольку интересы России и Беларуси в Европе во многом совпадают. Они также отмечали, что тактика этих группировок во многом совпадает.

Министерство цифровой трансформации Украины, в свою очередь, говорит о доказательствах причастности России к кибератаке, которую называет частью гибридной войны. "На сегодняшний день можно сказать, что все доказательства указывают на то, что за кибератакой стоит Россия", - говорится в сообщении ведомства.

Что выявило расследование Microsoft

Центр анализа угроз американской корпорации Microsoft (Microsoft Threat Intelligence Center, MSTIC) выявил свидетельства внедрения разрушительного вредоносного программного обеспечения в системы множества организаций в Украине, говорится в уведомлении пресс-службы компании.

Жертвами этого программного обеспечения стали правительственные ведомства, обеспечивающие критически важные функции исполнительной власти, отметила Microsoft.

Также пострадала фирма, управляющая сайтами для клиентов из государственного и частного сектора, в том числе правительственных ведомств, чьи сайты были недавно взломаны. Microsoft не уточнила, о какой фирме идет речь.

Американский софтверный гигант подчеркнул, что хакеры не использовали уязвимости в продуктах и сервисах Microsoft.

По оценке MSTIC, вредоносная программа, внешне похожая на вирус-вымогатель, но не имеющая механизма восстановления после получения оплаты, предназначена для выведения из строя целевых устройств, а не для получения выкупа.

Вредоносная программа запускается, когда соответствующее устройство выключается, уточнили в MSTIC. При этом может произойти уничтожение части жесткого диска (MBR) и файлов, на которые она нацелена.

По данным Microsoft, впервые признаки кибератак появились 13 января. Дата совпадает с началом кибератак, когда перестали работать десятки украинских правительственных сайтов, в частности министерств иностранных дел, здравоохранения, Госслужбы по чрезвычайным ситуациям и сайт государственного сервиса Дія.

Специалисты Microsoft обнаружили вредоносное программное обеспечение на десятках систем в правительственных, некоммерческих и IT-организациях Украины.

Эксперты Microsoft пока не знают, на какой стадии находится оперативный цикл киберпреступников и сколько объектов пострадали в Украине, а, возможно, и в других странах. Пока полный масштаб атаки не выявлен, расследование продолжается, отметили в Microsoft.

Как при этом отмечает агентство AP, массированная кибератака на украинские правительственные сайты, могла быть лишь отвлекающим маневром.

США грозят России, НАТО и ЕС усиливают помощь Украине

Кибератака на украинские государственные сайты осуществлялась "по проверенной временем российской схеме", заявила в интервью газете Financial Times замгоссекретаря США Виктория Нуланд.

Она не обвинила Россию в кибератаке напрямую, но указала, что использованные методы напоминают то, что происходило во время других приписываемых Москве хакерских атак.

"В прошлом российские агенты делали это для дестабилизации правительств, чтобы проверить собственные возможности, чтобы лишить чувства уверенности правительства [стран], с которыми они в чем-то не сходятся. Так что здесь все возможно", - утверждает Нуланд.

Советник президента США по нацбезопасности Джейк Салливан пригрозил "надлежащим ответом" России, если подтвердится, что именно оттуда координировалась атака на правительственные сайты Украины.

Салливан в интервью телеканалу CBS отметил, что кибератаки могут быть частью усилий России по эскалации ситуации в Украине. Об этом известно уже несколько месяцев и США работают с украинским правительством над усилением защиты, отметил он.

"Это часть их сценария. Они делали это в прошлом в других контекстах", - сказал советник президента США по нацбезопасности, отметив, что его "нисколько не удивит", если организатором атаки окажется Россия.

"Если выяснится, что Россия осуществляет кибератаки против Украины, и если это продолжится в будущем, мы будем работать с нашими союзниками над должным ответом", - заверил он.

Пресс-секретарь президента России Дмитрий Песков в интервью CNN, в свою очередь отметил, что Москва "не имеет никакого отношения к этим кибератакам". "Мы почти что привыкли к тому, что украинцы во всем винят Россию, даже в плохой погоде у себя", - добавил он.

НАТО, тем временем, пообещало Киеву усилить сотрудничество в области кибернетической безопасности. Тем самым Североатлантический альянс, как подчеркнул генсек Йенс Столтенберг, решил отреагировать на инцидент.

"В ближайшие дни НАТО и Украина подпишут соглашение об усиленном киберсотрудничестве, которое, помимо прочего, предусматривает доступ Украины к платформе НАТО для обмена информацией о вредоносных программах", - заявил Столтенберг.

Он напомнил, что Североатлантический альянс уже много лет сотрудничает с Украиной в целях укрепления ее кибербезопасности.

Евросоюз и правительство Германии также объявили, что поддержат Украину в этой сфере. Верховный представитель ЕС по иностранным делам и политике безопасности Жозеп Боррель на встрече глав внешнеполитических ведомств стран ЕС заявил, что Брюссель мобилизует все средства для поддержки Киева.

Кроме технической помощи для Украины, запланировано экстренное заседание Комитета Евросоюза по политике и безопасности.

Как узнало агентство Bloomberg в попавших в его распоряжение документах, страны ЕС в тот же день, как узнали об атаке на Украину, начали шестинедельные учения по борьбе с кибератаками,. В документах отмечается, что страны ЕС тесно связаны друг с другом в цифровом пространстве, поэтому потенциальный взлом в одной стране может затронуть и другие.