Нова хакерська атака перед Днем Незалежності: загрози і можливі наслідки

Кібератака на інформаційні системи українських держустанов та об’єкти критичної інфраструктури, яка відбулась у червні напередодні Дня Конституції, стала наймасштабнішою за всю історію країни.

Характер дав підстави правоохоронцям та профільним експертам говорити про заздалегідь спланований саботаж, дата якого була підібрана спеціально під свято, щоб спричинити паніку серед населення.

Минуло майже два місяці, і от напередодні 26-ї річниці проголошення незалежності Служба безпеки України та департамент кіберполіції попереджає українців про новий можливий напад. Перші ознаки майбутньої атаки вже фіксують фахівці з кібербезпеки.

Громадське розбиралось з наслідками можливих нападів, та як від них вберегтися.

Свято наближається

Під час кібератаки, яка закінчилася одночасним запуском 27 червня вірусу-вимагача, спочатку ідентифікованого як Petya.A, зловмисники отримали беспрецедентний доступ до уражених комп’ютерних систем. Про це раніше заявляли профільні аналітики, про це зараз нагадують і в СБУ.

ЧИТАЙТЕ ТАКОЖ: Цифровий апокаліпсис через недбалість: що треба знати про наймасштабнішу хакерську атаку в Україні.

«Їй (атаці — ред.) передував збір даних про підприємства України — електронні пошти, паролі до облікових записів, які використовуються підприємствами та їхніми співробітниками, реквізити доступу та інша інформація, відсутня у відкритому доступі», — зазначається в офіційному попередженні спецслужби про нову хвилю кібератак.

«Ми попереджаємо, що це буде 24-го серпня, на День Незалежності. Ми бачимо, що такі атаки відбуваються напередодні або в день якихось великих свят для України», — заявив на початку серпня голова Кіберполіції Сергій Демедюк.

Перші підтвердження цих побоювань почали з’являтися цього тижня.

Вхід через бухгалтерію

У вівторок 22 серпня український IT-бізнесмен, голова холдингу «Октава Капітал» Олександр Кардаков написав про підозрілу активізацію поштової розсилки, яку виявили спеціалісти його компаній.

«Останні дві години нам надходять повідомлення про масові поштові розсилки, що містять шкідливий код, як правило в одному з архівних форматів: ARJ, ZIP, 7-ZIP і ін. Вранці наша система захисту електронної пошти перехопила подібні повідомлення зі вкладенням 7-ZIP, що маскуються під вкладені рахунки», — зазначив він.

Шахрайська або фішингова розсилка була орієнтована переважно на бухгалтерів та інших працівників фінансових відділів підприємств. У вкладеннях містились файли — Довідка.pdf, Рахунок.js, реквізити.doc — другий з них містив шкідливий код, так званий дропер, який після відкриття мав самостійно скачати з інтернету «бойову» частину вірусу. Сам дропер не ідентифікувався більшою частиною антивірусних програм, зазначає Олександр Кардаков.

Сергій Маковець директор компанії ISSP, ще одного українського інтегратора, що спеціалізується на питаннях безпеки, у вівторок повідомив Громадському, що спеціалісти його компанії від ранку фіксують «скомпроментований трафік», імовірно заражений шкідливим кодом, з сайту одного з українських IT-сервісів.

Пізніше з’ясувалась, що мова йде про різні етапи однієї атаки — виявлений спеціалістами «Октава Капітал» дропер скачував вірус з сайту — ресурсу програмного комплексу бухгалтерського обліку для бюджетних організацій «Crystal Finance Millennium».

Показово, що основним джерелом поширення червневої кібератаки також стало бухгалтерське програмне забезпечення — вірус скачувався переважно з серверів українського сервісу документообігу M.E.Doc. В липні Кіберполіція проводила обшуки в офісах його розробника, компанії «Інтелект-Сервіс», за словами Сергія Демедюка, її керівництво може бути притягнуте до відповідальності за поширення вірусу.

ЧИТАЙТЕ ТАКОЖ «Чорний вівторок» українського IT: яких збитків завдала кібератака, та хто її вчинив.

Два дні поспіль Громадське безрезультатно намагалось отримати від кіберполіції коментар стосовно нової можливої кібератаки, однак у департаменті досі просять чекати відповідь на офіційний запит. Втім,  R&D-директор компанії «ІТ-Інтегратор» Володимир Кург, який також займається аналізом останньої вірусної розсилки, зазначає, що кіберполіція вже співпрацює з приватними фахівцями в її розслідуванні.

«Ця malware спрямована на клієнт-банки. Ми відстежуємо їхню активність приблизно кілька місяців. Зараз вони запустили нову кампанію по розсилці, з модифікованим вірусом», — цитує він повідомлення від кіберполіції.

Які масштаби і наслідки?

Громадське продовжує з’ясовувати масштаби нового вірусного зараження, чекаючи відповіді від кіберполіції. За словами Олександра Кардакова, спеціалісти його компанії виявили лише 14 заражених листів, але аж п’ять модифікацій вірусів.

Однак масштаби скачування «бойової частини» з ресурсу Crystal Finance Millennium були, швидше за все, більш значущими — з середи сайт заблокований хостинг-провайдером BestHosting.

З власних джерел Громадське дізналося, що жертвами вірусної атаки в останні два дні стали зокрема щонайменше два телеканали та кілька фінансових установ, які просять не розголошувати їхні дані.

Втім, у компанії CYS-Centrum, приватному центрі реагування на кіберзагрози, заснованому колишніми працівниками Держслужби спеціального зв’язку та захисту інформації, вважають розмови про загрози трохи перебільшеними.

У колонці розміщенній на своєму сайті, спеціалісти компанії зазначають, що схожі атаки, орієнтовані не на саботаж, а на викрадення грошей через системи «клієнт-банк» вони спостерігають ще з 2013 року.

Лише за перші три місяці 2017 року, неназвана група хакерів, яка користувалася подібними методами здійснила 128 спроб викрадення коштів на загальну суму 32,8 млн грн.

«Як і раніше, ця загроза ніяк не стосується Дня Незалежності і можливих кібер-подій, і належить до розряду «фінансово мотивований кіберзлочин» з прицілом на клієнтів українських банків», — зазначають у CYS-Centrum.

Як вберегтися?

Поради українських фахівців з IT-безпеки традиційні — передусім уважність і обережність в роботі з електроною поштою.

«Виховуйте бухгалтерів і фінансистів щодо поштової гігієни. Оскільки такі розсилки нібито рахунків спрямовані на їхній умовний рефлекс — розібратися з платежами / вимогами, відкривши те що приплило», — зазначає Володимир Кург.

Олександр Карадаков у своєму дописі рекомендує видаляти листи від невідомих дописувачів, особливо якщо вони містять у вкладеннях заархівовані файли.

У державному центрі реагування на кіберзагрози  CERT-UA додатково рекомендують заблокувати запуск JavaScrypt-файлів, а у компанії ISSP - заблокувати домен http://cfm.com.ua на рівні фаерволу.

ЧИТАЙТЕ ТАКОЖ: Комп'ютерний вірус-вимагач Petya.А: як захиститись.

Підписуйтесь на наш канал у Telegram