State Treasury Shutdown або #Cybergeddon-UA v2.0: who is Mr.Robot?

Події останній днів, що відбувались навколо інформаційних систем Мінфіну та Держказначейства, ще раз прославили Україну черговим гучним кіберінцидентом який із впевненістю ввійде в підручники із кібербезпеки та презентації всіх полісімейкерів в галузі безпеки.

У березні 2016 року мав нагоду вивчати основи інтернет дипломатії у Annenberg School for Communication and Journalism Університету південної Каліфорнії де найбільш читаємий у Вашингтоні політолог, авто теорії «м’якої влади», та професор Гарвардського університету Джозеф Най (Joseph Nye) у своїй презентації повідав важливість формування культури кібербезпеки на прикладі BlackEnergy Shondown case, або випадку взлому системи управління подачі електроенергії у Прикарпаття обленерго. Вже немає нічого дивного в тому, що увагу до випадків проникнення до інформаційних систем притділяють не тільки експерти із ІТ, але і особи, що долучені до формування стратегії розвитку держави, системи державного управління та колективної безпеки. В тім того, навіть у останній роботі з міжнародних відносин Генрі Кісінджера World Order, у розділ, що присвячений розвитку технологій та їх впливу на світовий порядок поряд із аналізом сучасних проблем із ядерним озброєнням наводиться порівняльний аналіз впливу кібер технологій на світовий порядок. Тобто, сучасні супердержави питання кібезброї та кібебезпеки вже приділяють уваги на рівні із поширенню та використанню ядерної зброї.

Так, що ж трапилось в Мінфіні та Держказначействі і які уроки для світової спільноти дасть цей інцидент. З інформації доступної із відкритих джерел, форумів та обговорень у соцмережах події відбувались у такій послідовності.

Вранці 6 грудня, деякі працівники Держказначейства помітили дивну роботу своїх комп’ютерів, деякі засисали, переставали відповідати на пристрої введення та перезагружатись. Після чого інформація на диску С комп’ютера, із операційною системою та робочими документами виявлявся знищено. Це пов’язують із зараженням комітетів мережі Держказначейства вірусом який задіював зловмисний алгоритм KillDisk, мало того антивірусне забезпечення ESET v5 встановлене в казначействі виявилось неефективним. Поряд з цим, зловмисники отримали доступ до адміністративної панелі управління доменним ім’ям веб сайту казначейства і змінивши налаштування DNS перенаправили всіх користувачів на сайт www.whoismrrobot.com який присвячений відомому серіалу про хакера-«Робіг Гуда» який рятує світ від змови інтернет корпорації.

Оцінивши критичність ситуації цілком логічно, що адміністратори систем держказначейства та мінфіну прийняли рішення відключити системи від інтернету та дали команду всім працівникам негайно вимкнути всю комп’ютерну техніку. Саме про це писали працівники ДКУ на форумах, що комп’ютери вимкнені і персонал відпущених додому. За не прямими ознаками можна також стверджувати, що була зупинена система обслуговування бюджету та платежів АС «Казна», оскільки, інформаційна система ДФС не дозволяла реєструвати податкові накладні через відсутність інформації про зарахування коштів на спецрахунки держказначейства. Таким чином, буда зупинена робота всіх бюджетів, зупинені платежі, що є кібергеддоном системи державних фінансів, який тривав 2 доби. За інформацією, яка надійшла 9 грудня, роботу веб-сайтів відновлено, почали проходити платежі, хоча не правда, робота не всіх місцевих бюджетів та територіальних відділень ДКУ відновлено.

Отже, можна стверджувати, що зловмисники отримали доступу до значної кількості комп’ютерів у мережі держказначейства, їм вдалось перехопити паролі доступу до управління веб сайтом, а також запустити програми по самознищенню інформації на персональних комп’ютерах працівників служби. Цілком ймовірно, що такі дії не могли відбутись швидко, і як з випадком  Прикарпаттяобенерго, зловмисники готувались заздалегідь. Крім того, до їх рук могла потрапити інформація з обмеженим доступом, що вимагає ретельної перевірки системи, та виявлення переліку скомпрометованих даних.

Представники уряду у офіційних заявах, а також значна кількість експертів долучених до податкової реформи воліли пов’язати те, що відбулось із спробою голови ДФС зберегти сервери податкової під своїм контролем дискредитуючи Мінфін тим, що він навіть веб сайту не може дати ладу, бо саме в цей момент парламент мав розглядати законопроект присвячений податковій реформі. Але, такі заяви, цілком ймовірно є далекими від істини. 8 грудня уряд виділив також із резервного фонду 80 млн.грн. для модернізації інформаційних систем Мінфіну та ДКУ, звісно пізно, але можливо це дозволить їм впровадити сучасні хмарні технології, що унеможливлять повторення ситуації.

Уваги потребує інформація ФСБ РФ, яка 2 грудня на своєму сайті розмістила повідомлення про те, що іноземними спецслужбами готується кібератака на фінансову інфраструктуру РФ починаючи з 5 грудня. Пізніше, 9 грудня Ростелеком відзвітував про успішно відбиту DDoS атаку яка мала місце 5 грудня. Це сталось за день до інциденту в Україні, чи пов’язані ці інциденти і хто ж наслідив у держказначейству має показати детальний звіт який сподіваємось скоро буде оприлюднено, що є вкрай необхідним через ризик повторення ситуації в інших державних органах.