КіберНЕбезпека. Які хакерські атаки стали зброєю у війні та як їм протистояти

Російське повномасштабне вторгнення розпочалося далеко не лише у фізичному вимірі. Ранковим бомбардуванням 24 лютого передували масовані хакерські атаки на ІТ-системи всіх пріоритетних для України секторів — державний, оборонний, телекомунікаційний, банківський тощо. Ворог намагався знищити українську ІТ-інфраструктуру, щоб цим значно полегшити собі захоплення країни. Але йому це не вдалося.

Які кібератаки стали зброєю для росіян у війни? Як держава та український приватний сектор вистояли? Які технології допомагають підвищити корпоративну кібербезпеку? Про все це розказали учасники дискусії Open Talk Club від Kyivstar Business Hub — «КіберНЕбезпека: як дати відсіч і перемогти на кіберфронті».

Російські кібератаки на Україну. Як це відбувалося?

Підготовка росіян до війни у кіберпросторі почалася ще восени 2021 року. Саме тоді у Раді національної безпеки України побачили активізацію від ворожих хакерів. А перші дії, спрямовані на підготовку до повномасштабного вторгнення, були 13-14 січня. Тоді ворог вперше атакував 22 організації, більшість з яких належали до державного сектору.

«Як ми побачили, для росіян це було навчання. Вони використовували різні тактики навіть всередині однієї тієї самої організації, хоча в деяких місцях було очевидно, що ІТ-інфраструктура була однакова й можна було просто йти далі. Ми з цього зробили висновки, що вони вперше тоді залучили представників різних підгруп. Вони відпрацьовували співпрацю між собою, координацію в межах великої кібероперації. Це був новий для нас всіх етап», — згадує ті дні Сергій Прокопенко, керівник управління забезпечення діяльності НКЦК Апарату РНБО України.

Ці перші масові атаки стали навчанням не лише для ворога, але й для українських фахівців. Національний координаційний центр кібербезпеки (НКЦП) при РНБО тоді розробив систему спільного реагування всіх стейкхолдерів, налагодив співпрацю з партнерами тощо. А повноцінна серія кібератак чекала Україну вже напередодні повномасштабного вторгнення.

«До цього були залучені практично всі кіберактори, яких лише могли використати росіяни. Були державні й комерційні групи, хакери з білорусі тощо, — розповідає Сергій Прокопенко, — Але на цьому етапі вже відпрацювала 24/7 наша група з реагування. Більшість атак вдалося відбити, проте один з успіхів, якого досягли вороги, — це пошкодження військового супутникового зв’язку, що досить суттєво вплинуло на можливість комунікувати».

Після цих атак до української групи реагування приєдналися волонтери з приватного сектору — після 24-го лютого їхня кількість сягнула 600 осіб. За словами Сергія Прокопенка, це стало однією з причин, чому відбувся перелом. З 26-го лютого українські кібервійська змогли піти у контрнаступ, через що захищатися у кіберпросторі довелося вже росії.

Так, уже на початку березня масовані кібератаки пішли на спад. Росіяни змінили фокус: почали точково вражати регіональні компанії, місцеві органи влади, ресурси з евакуації людей тощо. Тут окрім кіберволонтерів долучилися до боротьби міжнародні партнери, запрацювала і кібердипломатія. До лав ІТ-армії призвали найкращих фахівців з кібербезпеки в України.

Утім, під постійним тиском і досі залишаються підприємства з секторів телекому, фінансів, атомної енергетики, ЗМІ тощо.

Які види атак використовували росіяни проти України?

Арсенал хакерської зброї ворог підбирав досить ретельно. Кілька місяців до нападу росіяни вивчали ІТ-системи не лише державних органів, а й інших своїх потенційних жертв. Під кожну задачу обирали окремий набір технік та технологій.

Тож, найчастіше ворог застосовує наступні види кібератак:

• Defacement — атака, під час якої хакери зазвичай спотворюють головну сторінку вебсайту, замінюючи її на оголошення про злам ресурсу. Оригінальний вміст сайту можуть заблокувати або видалити.
• Disk wipe та Data Destruction — безповоротне знищення даних на електронних носіях, дисках тощо.
• Exfiltration — викрадення, несанкціоноване видалення чи переміщення будь-яких даних із пристрою.
• Network Denial of Service або DoS атака — хакерські дії, спрямовані на вимкнення сервісу, програмного забезпечення чи мережі, що робить їх недоступними для призначених користувачів. Наприклад, зловмисники можуть атакувати сайт для евакуації або один з державних сервісів.
• Firmware Corruption — вид атаки, під час якої зловмисники можуть маніпулювати, перезаписувати або пошкоджувати вбудоване програмне забезпечення, щоб заборонити використання системи або пристроїв.
• Compromise Infrastructure and Valid Accounts — зловмисники потрапляють в ІТ-системи жертви через слабкі місця в інфраструктурі компанії або через скомпрометовані облікові записи співробітників.
• Фішинг або англ. Fishing «риболовля» — атака, яка має на меті отримати цінну інформацію від людей шляхом розсилки шахрайських повідомлень. Наприклад, фішинг заохочує співробітників добровільно поділитися даними для доступу в корпоративні акаунти.
• Supply chain attack — атака на ланцюг постачання, за якої хакери використовують довірчі відносини між організацією-жертвою та її постачальниками, партнерами або ж слабкі сторони зовнішнього програмного забезпечення.

Проте як хакери не зупиняються у пошуку вразливостей, так і розробники сервісів в сфері інформаційної безпеки не втрачають пильності. Сьогодні на українському ринку доступні рішення від провідних світових виробників рішень Fortinet, Barracuda і Commvault. Комплекс рішень для кіберзахисту від цих розобників надає своїм бізнес-клієнтам Київстар.

Supply chain-атака — одна з найнебезпечніших. Як протистояти?

Одна з найбільших небезпек на кіберфронті, з якою стикаються великі компанії та державні підприємства зараз, пов’язана з Supply chain-атаками, тобто атаками на партнерів або підрядників, які мають доступи до внутрішніх ІТ-систем організації-замовника.

Директор з кібербезпеки Київстар Юрій Прокопенко розповідає: «Готуючись до можливої повномасштабної війни на початку року, ми відстежували різноманітні аномалії за кордоном. Ми звернули увагу на атаку одного з європейських операторів, яка повинна була зруйнувати доступ до його сервісів. Це був класичний Supply chain, коли використовуються вразливості підрядників. Саме тому ми почали інвестувати в підвищення експертизи в протидії саме цьому виду атак. А вже під час повномасштабного російського вторгнення ми стикнулися з кількома реальними кейсами. Цей заздалегідь опанований досвід дозволив нам не допустити реалізації загроз».

Тож, як працює Supply chain-атака? Велика компанія-замовник зазвичай має більше ресурсів, щоб залишатися стабільною навіть під час війни. Натомість компанія-підрядник є маленькою, а отже будь-яка зміна (міграція співробітників, військові дії тощо) дуже впливають на бізнес-процеси. На практиці, співробітники можуть банально не вийти з ІТ-мережі клієнта, якщо їхню роботу перериває сирена і працівник ховається у бомбосховищі. Або ж у штаті компанії проходять зміни через мобілізацію до лав ЗСУ. У цих та багатьох інших ситуаціях контроль над процедурами послаблюється, чим і користуються зловмисники, отримуючи легітимний доступ до мережі компанії-замовника.

Ось кілька порад, як протидіяти Supply chain-атакам:

1. Підвищити вимоги до захисту підрядних організацій.
2. Контролювати проходження ними незалежного аудиту з кібербезпеки.
3. Шукати можливості надавати підрядникам сервіси для гарантування кіберзахисту.

«Підрядникам варто приділити більшу увагу впровадженню внутрішнього контролю — робочих точок, серверного обладнання, навчання співробітників кібергігієні та кібербезпеці. Замовникам потрібно розглянути можливість контролю обладнання, з якого з вами співпрацюють ваші підрядники. Усе це посилить загальну безпеку й знизить ризики до мінімального рівня», — коментує Юрій Прокопенко, директор з кібербезпеки Київстар.

Російські DDos-атаки. Що це і як захиститися?

Найпоширенішою таргетованою атакою на кіберфронті у російсько-українській війні залишається Distributed Denial of Service attack (DDos). Хакери спрямовують на обрану ІТ-систему велику кількість запитів, які перевищують її пропускну здатність, через що вона може частково або повністю вийти з ладу.

Наприклад, постійним DDos-атакам з боку російських та білоруських хакерів протистоїть Національна енергетична компанія «Укренерго». Її головне завдання це стабільність енергетичної системи України, а тому не дивно, що саме вона стала однією з головних мішеней для кібератак.

«Ми ведемо спостереження за кількістю хакерських атак на нас вже кілька років. Тому ми можемо наочно побачити, що за три роки ми мали лише 5 випадків DDos, а за перший місяць їх було 50. DDos-атак найбільше, але є ще фішинг, таргетований фішинг, була і величезна кількість сканувань нашого периметру. Нас сканували з ФСО, роскосмосу та інших російських організацій. Гордий сказати, що жодна атака на Укренерго не пройшла за периметр, тобто ми їх всі відбили», — зазначає Сергій Галаган, директор з інформаційних технологій НЕК «Укренерго».

Російські атаки націлені й на українські медіа, які часто до початку повномасштабної війни не мали серйозного захисту інформації та систем від кіберзагроз. DDos стали найбільш розповсюдженими й тут, адже саме вони дозволяють перекрити доступ читачам до актуальної інформації, атакувавши сайт видання.

З такими DDos-атаками постійно стикається бізнес/медіа бюро Ekonomika+. Ворог детально вивчав ресурс перед повномасштабним вторгненням, знав внутрішню історію запитів та обладнання, яким користувалася компанія. Digital-директор Ekonomika+ Олександр Клімашевський розповідає:

«Раніше атаки на видання були скоріш від фігурантів журналістських розслідувань, які були незадоволеними якоюсь публікацією. Утім, це були дешеві ботнети, які генерували нетипові запити для наших медіаресурсів, а тому ми могли їх легко відрізати. А зараз йде мова про цілеспрямовані атаки, які значно змінюють географію. Якщо у перші тижні ми бачили запити з нетипових для нашої аудиторії країн, наприклад, з Індонезії, то ми їх просто обрізали. Проте зі США це вже не так просто зробити».

Щоб протистояти DDos-атакам Ekonomika+ вжила такі кроки:

1. Зменшення та локалізація атак за допомогою доступних та умовно безкоштовних засобів для кіберзахисту.
2. Максимальне обмеження доступу до внутрішніх редакційних систем.
3. Прогнозування атак за допомогою доступних інформаційних джерел, наприклад, ворожих Telegram-каналів.

Сьогодні захиститися від DDos українські організації можуть, зокрема, завдяки комплексному рішенню від Київстар — AntiDDos. Цей інструмент забезпечує багаторівневий захист даних та всієї IT-інфраструктури компанії від відомих і невідомих атак. AntiDDos-захист моніторить структуру трафіку, і щойно система виявляє відхилення, він автоматично переспрямовується на очищення й тільки після цього потрапляє до клієнта.