На думку голови Мінцифри Михайла Федорова, кібератаки спрямовані на поширення хаосу в Україні. Такі події погіршують загальну тривогу, спричинену перебуванням ста тисяч російських військових на кордонах України. Зокрема фондовий ринок болюче зреагував на непростий політичний клімат: українські активи дешевшають, а іноземна валюта дорожчає. За даними Bloomberg, події, що відбуваються у нас, уже спричиняють негаразди і на європейських ринках.
РНБО заявляє, що принаймні частина цих кібератак була втілена силами угрупування UNC1151, більш відомого під назвою GhostWriter. Вважається, що це організація, афілійована з білоруськими спецслужбами, тож імовірно, вони виконували вказівки Кремля. На Заході теж лунають звинувачення в бік Росії.
Глава комітету Сенату з міжнародних відносин Боб Менендес стверджує, що уряд США має запровадити для Росії санкції у відповідь на ці кібератаки. Цікаво те, що серед союзників України не лише американські політики, а й компанія Microsoft, яка розпочала розслідування кібератак.
Читайте також: Всередині Дії: Як працює дизайн-команда Мінцифри
У ніч проти 14 січня хакери «зламали» вебпортал «Дія» та понад 70 урядових сайтів України, зокрема сайти Кабміну, МЗС, Міністерства освіти та інші. Спочатку експерти класифікували це як типовий дефейс-напад, мета якого — підмінити головну сторінку певного сайту повідомленням від зловмисників. Зазвичай, такі кібератаки належать до відносно «нешкідливих», адже хакери не отримують безпосередній доступ на чутливої інформації, а тільки користуються знайденою вразливістю, аби передати повідомлення.
У цьому випадку меседжем була погроза, написана трьома мовами — російською, українською та польською. Представники Польщі назвали це спробою «підвищити напругу» між країнами. Зокрема, їхні спецслужби вказали на те, що повідомлення польською написане з помилками, що свідчить про те, що ця мова не є для автора рідною.
Окрім погроз за «історичне минуле», у повідомленні містилося залякування щодо крадіжки персональних даних, однак представники української влади послідовно заперечують наявність витоку. У «Дії» вкотре зазначили, що їхній сервіс не зберігає дані українців, а лише відображає те, що міститься в державних реєстрах.
Ось це повідомлення з’явилося на багатьох державних сайтах 13-14 січня
Знахідка Microsoft
Атака тривала кілька годин, невдовзі за розслідування інциденту взявся Центр розвідки загроз Microsoft (MSTIC). Вже за два дні після кібератаки MSTIC випустив заяву, в якій йшлося про знахідку іншого шкідливого програмного забезпечення, яке проникло в пристрої українських державних органів, підприємств та неурядових організацій. Програма діє як вірус-вимагач, з тією відмінністю, що не передбачає викупу за розблокування файлів. Натомість цей «вірус», який є програмою-вайпером типу WhisperGate, знищує дані на жорсткому диску та повністю виводить пристрої з ладу. Це свідчить про наміри хакерів здійснювати нові руйнівні напади й надалі. Сам зловмисник (або група зловмисників) отримав маркування DEV-0586, що є тимчасовим ім’ям до встановлення причетних сторін.
Більш розгорнутий коментар міститься в офіційному блозі Microsoft. Триває розслідування, Microsoft запевняє, що компанія знає про політичну ситуацію в регіоні та закликає українських користувачів користуватися інформацією з блоґу, щоби захистити себе від дій зловмисників. Також Microsoft нагадали, що віруси-вимагачі, серед яких в Україні лютували WannaCry, Petya, NotPetya, зазвичай теж одразу знищують дані на пристрої, а обіцянка зловмисників про розблокування пристрою після переказу грошей є неправдивою. Компанія Microsoft запевняє, що в останній версії антивірусу від Microsoft наявний захист від цього шкідливого ПЗ.
Як це сталося?
Журналістка-розслідувачка Кім Зеттер висловила припущення, що первинна дефейс-атака могла статися через вразливість встановленої на пристроях версії CMS (безкоштовна система керування сайтами). Причиною проблеми могло стати несвоєчасне оновлення системи в урядових установах. Державна служба спеціального зв’язку та захисту інформації спочатку допустила таку версію, але згодом заявила, що кібератака відбулася через ланцюжок поставок (supply chain attach). В таких випадках шкідливе ПЗ шукає слабку ланку всередині мережі та через неї вражає весь ланцюжок. За версією Держспецзв’язку, ця атака є частиною більш глобальної операції, мета якої — завдати якомога більше шкоди інфраструктурі державних електронних ресурсів України.
Експерти в галузі цифрових технологій вважають, що промовисті загрози хакерів в адресу українців і приховане зараження, яке відбулася одночасно, свідчать, що кібератака містить значно більше загроз, ніж це видно на поверхні. Тим часом речник російського президента Дмитро Пєсков запевнив в інтерв’ю CNN, що Москва не має стосунку до цих атак та сказав: «Ми майже звикли до того, що українці в усьому звинувачують Росію, навіть у поганій погоді».
Верховний представник Європейського Союзу з питань закордонних справ і політики безпеки Жозеп Боррель заявив, що в ЄС можуть уявити, хто стоїть за цими атаками, хоча наразі їм бракує безпосередніх доказів для більш рішучих звинувачень.
У ніч проти 26 січня хакери атакували офіційний сайт України ukraine.ua. Міністерство закордонних справ повідомило, що зловмисникам вдалося перервати роботу порталу на кілька годин. У порівнянні з попереднім хакерським нападом, шкода від цієї кібератаки виявилася дещо меншою, втім, майже немає сумнівів у тому, що ці події певним чином взаємопов’язані.
Скриншот: ukraine.ua
Сайт ukraine.ua було запущено 14 січня 2021 року — він ведеться сьома іноземними мовами та присвячений культурі сучасної України, демонструє чудові українські краєвиди та туристичні знахідки. Портал призначений для закордонної аудиторії, він використовує популярну айдентику України, створену креативною агенцією banda.
29 січня хакери заволоділи офіційними адресами судової влади в Україні та почали здійснювати спам-розсилку до громадян. «Вам не обходимо (sic!) надати фінансово-господарську документацію зазначену в судовому запиті», — містилося у повідомленні зловмисників, яке містило купу граматичних помилок. Якщо відкрити вкладення до листа — на ваш пристрій завантажиться шкідливе програмне забезпечення.
Електронний лист від хакерів, який надійшов деяким українцям 29 січня
Завдяки автентичним електронним адресам хакерам вдалося обійти спам-фільтри, повідомляє Команда реагування на комп’ютерні надзвичайні події України (CERT). Відомство пояснює, що в разі завантаження та розпакування архівного файлу з вкладення, то на ваш пристрій встановлюється програма Remote Utilities, яка надає несанкціонований доступ стороннім особам. CERT зазначає, що такі кібератакі є систематичним явищем, їхньою мішенню здебільшого є державні та неурядові установи.
Найбільш руйнівною кібератакою за всю історію людства стало поширення вірусу-вимагача WannaCry 2017 року. Він заразив десятки тисяч комп’ютерів у 74 країнах світу та паралізував роботу великих компаній і урядових організацій. Цю кібератаку пов’язують з Північною Кореєю.
Кібератаки є важливим джерелом доходів північнокорейського режиму в умовах жорсткої санкційної блокади країни. Перебіжчики розповідають, що дітей, здатних до математики, змалку забирають у спеціалізовані армійські підрозділи та навчають їх кібервійни. Скоріш за все, отримані багатомільйонні кошти режим спрямовує на фінансування своєї ядерної програми.
Лише торік північнокорейські хакери вкрали понад $400 млн. Мішенями атак були здебільшого криптовалютні майданчики та міжнародні банки. Зловмисники ледь не поцупили $1 млрд з Міжнародного банку Бангладешу, втім напад вдалося перервати, тому зрештою хакери заволоділи сумою в $83 млн. Для відмивання захоплених коштів корейці вдалися до заплутаних схем і хитрощів, зокрема, гроші були виведені через лазівки за участі нерегульованих казино у Філіппінах.
Вірус-вимагач WannaCry. Світлина: securelist.com
Напад стався 2014 року. Північнокорейське угрупування, яке називає себе Guardians of Peace (також відоме як Lazarus Group), зламало корпоративну мережу Sony, знищило велику кількість даних, отримало доступ до чутливої інформації та разом з тим намагалося вкрасти велику суму грошей з кількох міжнародних банків. Вимогою хакерів було припинення розповсюдження фільму «Інтерв’ю» — комедійної стрічки Джеймса Франко та Сета Роґана, в якій вони висміяли Північну Корею та особисто Кім Чен Ина. Нападники звинуватили фільм у «сприянні тероризму».
Атаки на Україну вірусами-вимагачами, як-от Petya і NotPetya, відбулися 2017 року. Під час найбільш масових кібератак за всю історію України зараженню піддалися інформаційні системи Кабміну та низки міністерств, постраждала КМДА та інфраструктурно важливі об’єкти: Київенерго, Укренерго, ДТЕК та інші; були уражені приватні компанії: Rozetka, Епіцентр, WOG, Нова Пошта, Укрпошта та інші; мішенями були обидва міжнародних літовища Києва, всі великі мобільні оператори, медіа і багато хто ще.
Програми знищували вміст пристроїв, обладнаних операційними системами сімейства Microsoft Windows, заморожували роботу об’єктів, підприємств та навіть спричинили знеструмлення у деяких регіонах. Відповідальність на Росію поклали всі країни розвідувального альянсу Five Eyes: США, Велика Британія, Канада, Австралія та Нова Зеландія. Російська Федерація є однією з головних кіберзагроз у сучасному світі, хоч і діє значно менш витончено, ніж Китай (про КНР буде трохи далі).
DDoS-атака (такий напад відбувається за допомогою навали спаму, яку створюють мережі ботів), що заморозила роботу естонських урядових установ, сталася 2007 року після дипломатичної суперечки з Москвою стосовно зняття радянського меморіалу. Напад теж був націлений на урядові сайти, фінансову систему, медіа та інші важливі державні органи. Причетність влади Росії до нападу повністю не доведена;
Цей кібернапад відбувася під час російсько-грузинської війни 2008 року. Тоді мішенями DDoS атаки стали сайти президента Міхеіла Саакашвілі, Національного банку, парламенту країни. Хакери розмістили на уражених сайтах карикатуру Міхеіла Саакашвілі, в якій він був зображений в образі Адольфа Гітлера. Експерти вважають це першим випадком того, як кібервійна стала частиною реального військового конфлікту. Росія, як зазвичай, заперечила свою причетність.
Brexit та перемога на виборах Дональда Трампа вважаються наслідками несанкціонованого російського втручання у демократичні процеси.
Росію підозрюють у здійсненні однієї з наймасовіших кампаній політичної дезінформації 2016 року у Великій Британії, яка могла вплинути на результати референдуму щодо Brexit. Під час підготовки до голосування мережа ботоферм, зокрема відомі на весь світ «ольгинскі тролі», ширили соцмережами пропаганду проти ЄС, лібералів, мігрантів та істеблішменту. Діяльність цих мереж ботів пов’язують з вископоставленим помічником і поваром Путіна Євгеном Пригожиним.
Нещодавно парламентський комітет Великої Британії з питань розвідки та безпеки випустив 55-сторінковий звіт під назвою «Russia Report», в якому міститься інформація про можливий вплив РФ на рішення щодо Brexit. Цей звіт похитнув і без того крихку репутацію чинного прем’єра-консерватора Бориса Джонсона.
Перемогу Дональда Трампа на президентських виборах США 2016 року теж пов’язують з російським впливом. Кремль звинувачують у тому, що він влаштував масштабний витік персонального листування кандидатки від демократів Гілларі Клінтон, а також вдався до масової дезінформації у соцмережах Facebook та Twitter, агітуючи за Трампа завдяки злагодженій мережі російських ботів. Проблема набула такого розголосу, що саме після скандалу навколо президентських виборів у США соцмережі стали активно боротися с ботами та маркувати фейки.
Для розуміння масштабу проблеми: соцмережа Twitter щотижня намагається впоратися майже з 10 млн ботів.
2020 року хакери угрупування FIN12, пов’язаного з Росією, атакували систему охорони здоров’я Сполучених Штатів вірусом-вимагачем. Шкідливе ПЗ вразило навіть діяльність приладів, які мають підтримувати життєдіяльність пацієнтів. Якщо інші кібератаки, як-от напад Росії на німецький Бундестаґ або на передвиборчий штаб Еммануеля Макрона, принаймні можна пояснити брудною геополітичною боротьбою, то ця витівка відверто жахає.
Чимало країн Атлантики вважають найбільшим джерелом майбутніх кіберзагроз Китай, і це не дивно, зважаючи на успіхи комуністичної влади в цензуруванні інтернету, маніпулюванні соцмережами, а також успішному створенні нейромереж і штучного інтелекту для стеження за людьми. Наразі Китай зазіхає на нашу кібербезпеку шляхом успішної ринкової експансії китайських застосунків, зокрема — TikTok, який належить китайському технологічному гігантові ByteDance.
Будь-який великий бізнес у Китаї певним чином афілійований з владою та військово-промисловим комплексом. Популярний у підлітків застосунок TikTok з понад 1 млрд завантажень по всьому світові звинувачують у тому, що той збирає детальні датапортрети користувачів, які потім опиняються у володінні комуністичної партії. Зважаючи на такий рівень загрози, TikTok недоступний в Індії, а з 2020 року застосунок був заборонений у США адміністрацією Дональда Трампа, однак бан протримався лише рік, і був скасований 2021 року адміністрацією чинного президента Джо Байдена. Знавці кібербезпеки висловлювали стурбованість стосовно такого рішення Байдена, адже протистояння США та Китаю тільки продовжує посилюватися.
Наступною ерою комп’ютерного розвитку спеціалісти вважають технології квантового обчислення. Квантовим апокаліпсисом називають ситуацію, в якій раптова поява таких технологій знівелює будь-які секретні коди, шифри та інші наявні цифрові системи захисту, оскільки потужність квантових комп’ютерів дозволятиме дешифрувати комбінації з мільярдами варіантів. Це не якась науково-фантастична концепція, а недалеке майбутнє: США, Росія, Китай та інші великі гравці уже змагаються у створенні перших надшвидких квантових комп’ютерів. Ба більше, Велика Британія буцімто зашифрувала всі дані, що є державною таємницею, від появи суперкомп’ютерів.
Будь-яка діяльність людини в інтернеті кодується. Квантові технології докорінно змінять наявні парадигми кібербезпеки та сильно вплинуть на наше повсякдення, бо лише уявіть — те, що квантовий комп’ютер вирахує за секунду, інший комп’ютер обчислював би роками. Це загрожує нам тим, що раптом можуть виявитися спуштонемии банківські рахунки та криптогаманці, а державні системи захисту та інфраструктурні мережі будуть цілком сплюндровані. Над запобіганням такого розвитку подій уже працюють спеціалісти з Microsoft, Google, Intel, IPM та інших великих технологічних компаній.
Кібервійна триває, і немає жодних підстав вважати, що у майбутньому нас оминуть нові кібератаки. Мішенями хакерів, скоріш за все, ставатимуть знову ж таки урядові установи, громадські організації, інфраструктурні об’єкти та приватні компанії. Ми нагадаємо читачам Telegraf.Design прості правила, які можуть врятувати пристрої та бізнеси від кіберзагроз:
Telegraf.Design працює за підтримки спільноти. Підтримуйте Telegraf.Design на Patreon.
Неоморфізм: український внесок у світовий UI-дизайн
Як ставити цілі та досягати їх
Шпаргалка: перевірте, чи не використовуєте ви російські шрифти у своїй роботі
Киньте 10 гривень: як закривати збори з невеликою аудиторією в соцмережах
Ілюстрації персонального досвіду для шоу «ебаут»
Культурне життя в часи війни