Кібератака на Україну. Що дізналася Microsoft
Текст:
Надтока Світлана,
17 січня 2022, 14:42
💬
0
👁
2105
Масована кібератака на українські урядові сайти могла бути хитрим маневром з метою відволікти увагу, вважають експерти.
Сайти державних органів України зазнали кібератаки, незважаючи на багаторічну допомогу Заходу з посилення кібербезпеки. Хакери атакували 70 сайтів центральних і місцевих органів виконавчої влади України.
Перші результати розслідування компанії Microsoft засвідчили, що шкідливе програмне забезпечення справді було інтерпольоване в системи багатьох організацій в Україні. Корреспондент.net розповідає подробиці.
У кібератаці підозрюють білорусів, звинувачують Росію
У ніч на 14 січня кібератаки зазнали близько 70 сайтів центральних і регіональних органів влади України, це була найпотужніша за останні кілька років атака.
Зокрема не працювали сайти уряду, Міністерства закордонних справ, Міністерства освіти і науки, Міненерго, Мінагрополітики, Міністерства у справах ветеранів, сайт Держказначейства і сайт держпослуг Дія.
У Держспецзв'язку і Кіберполіції стверджують, що контент сайтів не зачеплено, і хакери не отримали доступу до реєстрів, де зберігаються дані українців. Єдина помітна дія хакерів - картинка з текстом українською, російською та польською мовами про помсту українцям "за минуле, сьогодення та майбутнє".
Хакери опублікували картинку
Андрій Баранович з Українського кіберальянсу згоден із заявами української влади. На його думку, хакери просто отримали доступ до сайтів і розмістили на них картинку.
Артем Старосек, CEO компанії Molfar, що займається аналітикою у сфері IT, зазначає, що вразливість, через яку зламали сайти українських відомств, дає частковий, не найкритичніший доступ до сайтів. Але питання в тому, чи зберігали дані на тому сервері, до якого хакери отримали доступ.
Хакерську атаку українська влада пов'язує з Росією та Білоруссю. Заступник Секретаря РНБО Сергій Демедюк каже, що кібератаку могло здійснити хакерське угруповання, пов'язане з білоруською розвідкою.
Дії угруповання UNC1151 були "лише прикриттям для більш руйнівних дій, що відбувалися за лаштунками і наслідки яких" Україна відчує найближчим часом, наголосив він.
Демедюк, який раніше був головою Кіберполіції України, сказав, що у послужному списку UNC1151 є напади на Литву, Латвію, Польщу й Україну. Крім того, кіберзлочинці розповсюджували матеріали, які засуджували присутність альянсу НАТО в Європі.
Також він заявив, що напад на українські урядові сайти схожий на атаки хакерського угруповання ATP 29.
На думку західних спецслужб, це пов'язана з російськими спецслужбами структура, також відома як Cozy Bear, яка у минулому стояла за кібератакою на сервери Демпартії США у 2016 році. Влітку минулого року вона спробувала зламати комп'ютери Республіканської партії.
Експерти американського агентства з кібербезпеки Mandiant не відкидають зв'язку UNC1151 з російськими структурами, адже інтереси Росії та Білорусі в Європі багато в чому збігаються. Вони також відзначали, що тактика цих угруповань багато в чому схожа.
Міністерство цифрової трансформації України у свою чергу говорить, що є докази причетності Росії до кібератаки, яку називає частиною гібридної війни. "На сьогоднішній день можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія", - йдеться в повідомленні відомства.
Що виявило розслідування Microsoft
Центр аналізу загроз американській корпорації Microsoft (Microsoft Threat Intelligence Center, MSTIC) виявив ознаки інтерполяції руйнівного шкідливого програмного забезпечення в системи багатьох організацій в Україні, йдеться в повідомленні прес-служби компанії.
Жертвами цього програмного забезпечення стали урядові відомства, які забезпечують критично важливі функції виконавчої влади.
Також постраждала фірма, яка керує сайтами для клієнтів з державного і приватного секторів, зокрема урядових відомств, чиї сайти недавно було зламано. Microsoft не уточнила, про яку фірму йдеться.
Американський софтверний гігант підкреслив, що хакери не використовували вразливість у продуктах і сервісах Microsoft.
За оцінкою MSTIC, шкідлива програма, яка зовні схожа на вірус-вимагач, але не має механізму відновлення після отримання оплати, призначена для виведення з ладу цільових пристроїв, а не для отримання викупу.
Шкідлива програма запускається, коли відповідний пристрій вимикається, уточнили MSTIC. Водночас може відбутися знищення частини жорсткого диска (MBR) і файлів, на які вона орієнтована.
За даними Microsoft, уперше ознаки кібератак з'явилися 13 січня. Дата збігається з початком кібератак, коли перестали працювати десятки українських урядових сайтів, зокрема міністерств закордонних справ, охорони здоров'я, Держслужби з надзвичайних ситуацій та сайт державного сервісу Дія.
Фахівці Microsoft виявили шкідливе програмне забезпечення на десятках систем в урядових, некомерційних і IT-організаціях України.
Експерти Microsoft поки що не знають, на якій стадії триває оперативний цикл кіберзлочинців і скільки об'єктів постраждали в Україні, а можливо, і в інших країнах. Поки повного масштабу атаки не виявлено, розслідування триває, зазначили в Microsoft.
Як також зазначає агентство AP, масована кібератака на українські урядові сайти могла бути лише хитрим маневром.
США погрожують Росії, НАТО і ЄС посилюють допомогу Україні
Кібератаку на українські державні сайти здійснювали "за перевіреною часом російською схемою", заявила в інтерв'ю газеті Financial Times заступник Держсекретаря США Вікторія Нуланд.
Вона не звинуватила Росію в кібератаці безпосередньо, але вказала, що використані методи нагадують те, що відбувалося під час інших хакерських атак, які приписують Москві.
"У минулому російські агенти робили це для дестабілізації урядів, щоб перевірити власні можливості, щоб позбавити почуття впевненості уряди [країн], з якими вони в чомусь не сходяться. Тож тут можливе все", - стверджує Нуланд.
Радник президента США з нацбезпеки Джейк Салліван пригрозив "належною відповіддю" Росії, якщо підтвердиться, що саме звідти координували атаку на урядові сайти України.
Салліван в інтерв'ю телеканалу CBS відзначив, що кібератаки можуть бути частиною зусиль Росії для ескалації ситуації в Україні. Про це відомо вже кілька місяців, і США працюють із українським урядом над посиленням захисту, відзначив він.
"Це частина їхнього сценарію. Вони робили це й раніше в інших контекстах", - сказав радник президента США з нацбезпеки і зазначив, що його "нітрохи не здивує", якщо з'ясують, що організатором атаки є Росія.
"Якщо з'ясується, що Росія здійснює кібератаки проти України, і якщо це триватиме й далі, ми працюватимемо з нашими союзниками над відповіддю, яка належить бути", - запевнив він.
Прес-секретар президента Росії Дмитро Пєсков у свою чергу в інтерв'ю CNN відзначив, що Москва "не має жодного стосунку до цих кібератак". "Ми майже звикли до того, що українці у всьому звинувачують Росію, навіть у поганій погоді у себе", - додав він.
НАТО тим часом пообіцяло Києву посилити співпрацю в галузі кібернетичної безпеки. Так Північноатлантичний альянс, як підкреслив Генсек Єнс Столтенберг, вирішив відреагувати на інцидент.
"Найближчими днями НАТО та Україна підпишуть угоду про посилену кіберспівпрацю, яка, крім іншого, має на меті надати Україні доступ до платформи НАТО для обміну інформацією про шкідливі програми", - заявив Столтенберг.
Він нагадав, що Північноатлантичний альянс вже багато років співпрацює з Україною для зміцнення її кібербезпеки.
Євросоюз і уряд Німеччини також оголосили, що підтримають Україну у цій сфері. Верховний представник ЄС із закордонних справ і політики безпеки Жозеп Боррель на зустрічі глав зовнішньополітичних відомств країн ЄС заявив, що Брюссель мобілізує всі засоби для підтримки Києва.
Окрім технічної допомоги для України, заплановано екстрене засідання Комітету Євросоюзу з питань політики і безпеки.
Як дізналося агентство Bloomberg із документів, що потрапили в його розпорядження, країни ЄС того ж дня, як дізналися про атаку на Україну, почали шеститижневе навчання з боротьби з кібератаками. У документах наголошується, що країни ЄС тісно пов'язані між собою в цифровому просторі, тому потенційний злам в одній країні може торкнутися інших.
Новини від Корреспондент.net у Telegram. Підписуйтесь на наш канал https://t.me/korrespondentnet