25 мільйонів кібератак щомісяця. Як Росія намагається зашкодити Україні в цифровому просторі

Громадська організація «Платформа прав людини» моніторить дотримання цифрових прав українців, у тому числі й ситуацію з кібератаками та фішингом, з 2019 року. Такі дії є порушенням цифрових прав, тобто тих самих конституційних прав, тільки у цифровому просторі. Тут і таємниця листування, і право на приватне життя, і безпека персональних даних, і низка інших важливих прав людини, які порушують хакери задля своїх цілей.

Цілі хакерів бувають різними: шахрайство і намагання виманити гроші, викрадення цінної інформації, порушення роботи систем, ускладнення життя конкурентам тощо. Але з початком повномасштабного вторгнення кібератаки стали радше інструментом ведення бойових дій, аніж засобом тиску на окремих людей та їхні приватні дані. Більшість кібератак була спрямована на державний сектор. Загальна їхня кількість зросла в десятки разів.

За даними Держспецзв’язку, основні кібератаки з 24 лютого припали на

• державні та місцеві органи влади;
• інформаційні ресурси сектору безпеки та оборони;
• енергетичний сектор;
• фінансовий сектор;
• комерційний сектор;
• телеком-сектор і розробників;
• транспортну галузь.

Чому саме ці галузі? Очевидно: аби сіяти хаос та поширювати недовіру до влади. Адже це війна, і завдання ворога — порушити нормальне існування системи.

Як це працює? Коли від атаки страждає офіційний інформаційний сайт, люди втрачають змогу отримувати перевірену офіційну інформацію, а іноді бачать залиту туди хакерами дезінформацію (як це було, коли через сайти місцевих рад поширили фейк про капітуляцію України).

Коли хакер втручається в роботу фінансового сектору, це може мати наслідком викрадення грошей, а це наші податки, пенсії, заробітні плати, субвенції тощо.

Робота енергетичного сектору, логістичних вузлів, транспорту зав’язана на інформаційному супроводі й обміні інформацією, тому хакерська атака (ще й успішна) може паралізувати роботу системи і доступність послуг та сервісів для користувачів.

У Держспецзв’язку наголошують, що до повномасштабного вторгнення кіберзлочинці зосереджувались на атаках центральної влади, медіа і військових, а з 24 лютого взялись за звичну справу: терор цивільних. Зокрема намагаючись зруйнувати роботу стратегічної інфраструктури (енергетики, транспорту, зв’язку), без якої люди не можуть нормально жити.

Статистика, яку надав Держспецзв’язку у відповідь на запит ГО «Платформа прав людини», промовиста. Якщо в лютому (з 1 по 23 лютого) на державний сектор здійснили близько 143 тисяч атак, то в наступні місяці ця цифра стрімко зросла:

• 3,2 мільйона атак за дві декади квітня,
• 42,7 мільйона атак у травні,
• 27,7 мільйона – в червні,
• 32,3 мільйона атак у липні,
• 28,7 мільйона атак у серпні,
• 25,1 мільйона у вересні.

Найпоширеніший тип кібератак — сканування, тобто збір інформації про систему і мережі шкідливим програмним забезпеченням. Це зчитування паролів, листування, встановлених додатків із доступами, активності в мережі і відвідування сайтів: усього, що мало би бути як приватною справою користувача, так і комерційною таємницею підприємства чи установи. Інші форми кібератак — це спам, шкідливе підключення, експлуатація вразливості, спроби авторизації і DDoS-атаки.

Ось так, до прикладу, виглядав розподіл кібератак на держоргани у вересні за категоріями:

1. сканування (збір інформації про системи або мережі) — 24 308 395 атак;
2. спроби експлуатації вразливості (спроби вторгнення з використанням вразливості у системі, компоненті чи мережі) — 639 806 випадків;
3. шкідливе підключення (спроби з’єднання від/до IP/URL — адреси, пов'язаної з відомим шкідливим програмним забезпеченням, наприклад C2C або ресурсом розповсюдження компонентів, пов’язаних із активністю певної бот-мережі) — 151 597 спроб;
4. спроби авторизації або входу в систему (спроба входу до служб або механізмів доступу, невдала спроба підбору автентифікаційних даних чи використання раніше скомпрометованих вже не актуальних даних) — 63 089 випадків;
5. атаки на відмови в обслуговуванні DoS/DDoS (вплив на нормальну роботу системи чи сервісу, що досягається скеруваанням з одного чи багатьох джерел до цільового ресурсу запитів для перенасичення пропускної здатності чи системних ресурсів) — 1791 атак;
6. спам (надсилання небажаних повідомлень або великої кількості повідомлень) — 708 випадків.

Не забуваймо про фішинг (розсилку електронних листів / повідомлень зі шкідливою програмою, відкриття яких або перехід за долученим посиланням загрожує втратою даних, зараженням вірусами, передачею персональних даних (в тому числі про паролі і дані банківських карток), втратою доступу до мережі), що теж трапляється часто. У вересні 2022 року Державна служба спеціального зв'язку та захисту інформації зафіксувала 1 060 939 фішинг-атак на державний сектор, у серпні — 977 785, у червні — 1 312 401 атаку.

Кого саме і як атакують — службова інформація та інформація із закритим доступом, пише Держспецзв’язку у відповіді на запит ГО «Платформа прав людини». Але окремі описи кібератак у публічному просторі дають змогу зрозуміти картину загроз і знати, чого варто остерігатись.

Наприклад, у вересні об’єднання UAC-0098, пов’язане з російською хакерською групою Conti, здійснило низку кібератак на українські та європейські організації за допомогою фішингових електронних листів, видаючи себе за Кіберполіцію України, представників Starlink, Microsoft та індійську мережу готелів. Про це повідомляв The Verge із посиланням на доповідь Threat Analysis Group, підрозділу Google, що відстежує спонсоровані державами кіберактивності.

11 серпня Урядова команда реагування на комп'ютерні надзвичані поді України CERT-UA повідомила на своєму сайті про поширення фішингових листів із вірусом AgentTesla. Завантаження програми заражало всі документи на комп'ютері. Такі розсилки також зафіксувалаи 30 і 31 серпня 2022 року з темами «Технічне креслення» (“Technisches Zeichnen”).

Змусити користувачів відкрити лист із фішингом і перейти за посиланням хакери намагались по-різному: розсилали листи з файлом «зміни оплати праці з нарахуваннями.docx» і з темою «СПИСОК посилань на інтерактивні карти» для медійників начебто з інтерактивними картами критичної інфраструктури, з «важливим» небезпечним файлом із назвою «Доповідь0507224.ppt», і навіть листи з темою «Щодо проведення акції помсти у Херсоні!» і файлом «План Херсон.htm».

16 серпня 2022 року відбулася найпотужніша від 24 лютого хакерська атака на офіційний сайт державного підприємства «Енергоатом». Його атакувала російська група «Народная киберармия», використовуючи 7,25 мільйона бот-юзерів, які впродовж трьох годин симулювали сотні мільйонів переглядів основної сторінки компанії. Напад хакерів удалося відбити.

13 травня 2022 року російські хакери успішно, на жаль, атакували інтернет-мережі та сервіси Львівської міської ради. Частину робочих файлів міста, попри всі системи захисту, викрали і опубліковали на ворожих телеграм-каналах. В червні атаку пережив сайт корпорції ДТЕК, а у липні DDoS-атака «поклала» сайт Державної архівної служби України.

Війна в кіберпросторі — серйозна загроза. І спроби ворога знову і знову зашкодити роботі українського державного сектору в цифровому просторі — вагоме підтвердження цього факту. Тож турбота про власну кібербезпеку та медіаграмотність мають стати важливими складовими саморозвитку для кожного українця, а державі слід і далі посилювати свій захист не лише зброєю, але й передовими технологіями протидії кібератакам.

Ольга Вдовенко, медіаюристка ГО «Платформа прав людини»

Фото: Diverse Stock Photos/Flickr