15 февраля украинские банки, госсайты и «Дія» массово легли после массированной DDoS-атаки. Работоспособность некоторых ресурсов удалось восстановить только спустя сутки. О возможных причинах произошедшего и о том, что помешало отразить атаки, мы спросили у экспертов в области кибербезопасности – основателя «Украинского киберальянса» Андрея Барановича и специалиста по информбезопасности Константина Корсуна.
Содержание
DDoS-атаке предшествовала массовая SMS-рассылка с польских телефонных номеров с телефонным кодом +48. В этих сообщениях клиентам от имени «ПриватБанка» приносились извинения в связи с перебоями в работе его банкоматов.
«Насколько я понимаю, это была проба пера. В начале рассылаются сообщения о том, что банкоматы работать не будут, а потом пытаются с помощью DDoS-атак повалить и сами банки с госсайтами. Если бы их удалось повалить полностью, то это вызвало бы панику среди населения», – рассказал один из основателей «Украинского киберальянса» Андрей Баранович.
Характерно, что и 14 января и 15 февраля хакеры совершали атаки под прикрытием флагов другой страны. В данном случае это была Польша.
«Я уверен, что поляки тут совершенно ни при чем. Наверняка это “сюрприз” со стороны РФ. Например, 14 января произошла массовая утечка данных из МВД, портала “Дія” и Минрегиона. Тогда же были проведены дефейсы (тип хакерской атаки, при которой страница вебсайта заменяется другой), маскируемые под польских националистов”, – говорит один из основателей «Украинского киберальянса» Андрей Баранович.
Напомним, что тогда хакеры подменили содержимое главной страницы сайта правительства, отдельных министерств и портала «Дія». На ресурсах можно было увидеть следующее сообщение на трех языках:
По словам Барановича, сначала в сети появился образец данных из МТСБУ (моторное (транспортное) страховое бюро Украины), а уже после этого начались атаки и пошла SMS-рассылка. Дефейсы от 14 января, которые приписывали польским националистам и вчерашние польские номера – это звенья одной цепи.
Как говорит эксперт, и там и там была некая «проба пера», во время которой выяснялось, что именно можно сделать с системами компьютерной защиты в случае дальнейшей эскалации. Баранович уверен, что мы имеем дело с военной операцией российских спецслужб, а не криминальными хакерами или польскими националистами.
Несмотря на громкие заявления про утвержденную на госуровне киберстратегию и открытие центра кибербезопасности, госсектор вновь оказался не готов к хакерским атакам. Единственное, что смогли сделать службы кибербезопасности сайтов Минобороны и ЗСУ, так это отключить их от интернета, хотя, на самом деле, этого можно было избежать.
«В DDoS-атаках нет ничего нового. Этому явлению уже больше 20 лет, и есть хорошо известные способы, как с ними бороться. Например, можно фильтровать трафик для того, чтобы разделить нагрузку. Специалисты обо всех этих методах знают и умеют их использовать. Да, “Госспецсвязь”, “Киберцентр” и СНБО что-то делают, но они могли подготовиться и лучше. И, прежде всего, не сама “Госспецсвязь”, а те компании, чьи сайты атаковали хакеры», – поясняет Андрей Баранович.
Во время вчерашней пресс-конференции министр цифровой трансформации Михаил Федоров заявил, что для защиты портала «Дія» от кибератак и фильтрации вредоносного трафика они используют оборудование компании Arbor.
Но как поясняют ITC.ua эксперты по кибербезопасности, Arbor в чистом виде – не панацея от всех проблем. Чтобы это специализированное оборудование работало эффективно, его должны настраивать и обслуживать компетентные специалисты. Для утилизации вредоносного трафика обязательно нужно задействовать мощности резервных серверов от частных компаний, которые специализируются на противодействии DDoS-атакам. Эффективность работы Arbor также зависит от провайдера, который будет его обслуживать.
«Если там достаточно интернет-каналов, чтобы принять весь этот трафик, то он способен их почистить. Любая “железка” – это не гарантия сама по себе. Ее необходимо правильно настроить и подключить, чтобы трафик до нее дошел», – объяснил Андрей Баранович.
Для справки: стоимость сетевого устройства Arbor Networks APS составляет порядка $84 тысяч.
«Американских гигантов, таких как AWS, Azure или Cloudflare, бесполезно атаковать. Украинские компании по сравнению с ними – это как первоклассник против чемпиона мира по боксу», – добавляет специалист по информационной безопасности Константин Корсун.
Сама по себе DDoS-атака особой угрозы для госсайтов не несет. Это не онлайн-казино и не интернет-магазин, где неработающий сайт приводит к колоссальным убыткам. Но неработающие сайты госслужб и банков могут вызвать панические настроения среди населения – в любой непонятной ситуации граждане бегут к банкоматам снимать наличку.
«Мощность атаки по данным компании “Хостмастер”, поддерживающей домен gov.ua, составила 60 Gbps. Это не очень много. Они подключили дополнительный сервер, что позволило им поддержать работоспособность доменной системы, хоть и с небольшими перебоями. Я не знаю, сколько именно досталось другим сайтам, но даже канала шириной в полтерабита хватило бы чтобы быстро справиться с атакой», – отмечает Андрей Баранович.
Скриншот с платформы Arbor, опубликованный министром цифровой трансформации Михаилом Федоровым, показывает трафик в реальном времени. На нем видно, что вредоносный трафик в день атаки измерялся 600 тысячами пакетов в секунду.
«Даже если это большие пакеты, это всего лишь 2-2,5 Gbps. Если 2 Gbps представляют какую-то угрозу для “Дії”, значит у них что-то пошло не так. Если бы у них это все было настроено правильно, то они бы эту атаку даже не заметили», – считает Андрей Баранович.
В качестве примера он приводит сайт КМДА, у которого 10-гигабитное подключение к интернету и трафик в 2-2,5 Gbps. Чтобы перегрузить их канал во время очередной DDoS-атаки, киберпреступники вынуждены были сгенерировать вредоносный трафик объемом 15 Gbps.
«Как видите, портал “Дія” «лежал» до утра, поэтому все эти Arbor компании, с которыми они сотрудничают, ничего не смогли с этим поделать. Это свидетельствует о том, что их ресурсы ограничены. Россияне, наверное, знают, сколько мегабит выдержит украинская система, поэтому они дали 150 мегабит. И все сайты “легли”, – рассказывает подробности специалист по информационной безопасности Константин Корсун.
По мнению Корсуна, хакерам можно эффективно противостоять, если использовать сервера в США. Но это запрещено украинским законодательством. Элементы любой государственной ІТ-системы должны физически находиться на территории Украины. Иначе их аттестат соответствия комплексной системы защиты информации будет аннулирован.
Как поясняют опрошенные ITC.ua эксперты, если поступает огромное количество «мусорных запросов», то есть два способа справиться с ними:
«Как я понимаю, использовался как один метод, так и другой. Просто недостаточно быстро и недостаточно четко все получилось. Поэтому и было заметно падение», – говорит Андрей Баранович.
Ситуацию могли бы спасти резервные сервера, но это крайне затратное предприятие.
«Представьте, что у вас работает все на одном сервере, а вы еще держите 10-20 других. Это абсолютно нерентабельно с точки зрения бизнеса. Именно поэтому используют аутсорсинговые компании, предлагающие антидидосовые решения, которые при необходимости масштабируются до необходимого количества», ― говорит специалист по информационной безопасности Константин Корсун.
Вероятнее всего атаки координировались российскими спецслужбами, но ІР-адреса не имеют никакого отношения к странам, с территории которых совершается DDoS-атака. На самом деле, это могут быть какие угодно адреса, поясняют наши собеседники.
«Разговоры о том, что атака совершается из России или Китая, – это полный бред. Как я понимаю, Федорову показали этот скриншот с Arbor, а он, поскольку не очень разбирается в технической части вопроса, назвал несколько стран, которые попали в топ новостей. С тем же успехом могли быть любые другие страны. В случае сопряженной DDoS-атаки ІР могут быть любые», – считает Андрей Баранович.
В 2015-2016 гг. в Украине уже были блэкауты, вызванные вмешательством в работу электростанций извне. С тех пор в системе безопасности нашей критически важной инфраструктуры практически ничего не изменилось. Как показывает опыт предыдущих лет, россияне могут легко находить в ней бреши и беспрепятственно отключать подачу электроэнергии едва ли не по всей стране.
«У нас ничего не меняется с начала войны. В мирное время госсектор полагается на полицию. А хакерам неинтересно ломать сайты госструктур, поскольку это вызывает одни проблемы, а прибыли от этого никакой”, ― рассказал Баранович.
Как утверждает Баранович, сейчас в Даркнете продают стомегабайтный архив с данными, украденными из государственных систем. Но это никого не волнует. И то, что это диверсия со стороны России, тоже никем не озвучивается.
«Конечно, когда происходит атака все пытаются что-то сделать. Но ведь цель всех этих мероприятий по кибербезопасности в том, чтобы этого не происходило, правда? Не в том, чтобы героически бороться, а в том, чтобы останавливать атаки на ранних стадиях», – поделился Андрей Баранович.
Тут можно вспомнить неготовность украинских госструктур к отражению предыдущих атак 13-14 января. Тогда, судя по всему, хакеры воспользовались уязвимостью OctoberCMS (уязвимость October CMS позволяет злоумышленникам получить доступ к учетным записям после сброса пароля), которую вовремя не устранили апдейтом. Двумя другими лазейками для хакеров стали сайт компании Kitsoft (IT-компания, которая создает IT-продукты для госорганов и бизнеса), имевшей админдоступ к правительственным сайтам), а также уязвимость в Java Apache Log4j (критическая брешь в ПО, которая позволяет злоумышленникам запускать неавторизованный удаленный код). В качестве основного орудия использовалась так называемая APT-атака (Advanced Persist), а также ПО для взлома WhisperGate.
По мнению Барановича, говорить о кибербезопасности не приходится еще и потому, что в госучреждениях зачастую отсутствуют не только инженер по безопасности, но и системный администратор. Всего в Украине насчитывается около 100 тысяч госучреждений. Даже если выделить каждому из них по два IT-специалиста, этого все равно будет недостаточно. Единственный выход – отдать системы в обслуживание бизнес-организациям.
Произойдет ли это, и приведут ли в порядок в украинском государстве систему кибербезопасности – вопрос открытый. Зато глава Минцифры наверняка уже не раз успел пожалеть о своих словах о том, что «роль кибербезопасности немного преувеличена». Судя по происходящим событиям – она сильно недооценена.