«Проти нас працювали безпрецедентно потужно, професійно та не шкодуючи ресурсів…» Але ми встояли!

DDоS-атака на українські банки та сайти державних установ, яка відбулася 15 лютого, була найбільш масштабною в історії України, і вона досі триває...

Про це заявили очільники Мінцифри, СБУ, Держспецзв'язку, Кіберполіції, РНБО та Нацбанку під час спільного брифінгу, спеціально присвяченого кібератаці.

Ще вночі 15 лютого користувачі отримували SMS-ки про те, що банкомати «ПриватБанка» начебто не працюватимуть. Вона йшла з польських номерів і була оформлена не надто старанно: видно було, що повідомлення неофіційне, і в банку його одразу ж спростували. Але ближче до кінця робочого дня 15 лютого сайт та інтернет-банкінг «ПриватБанка» пішли в офлайн, як і сервіси «Ощадбанку».

Згодом у банках повідомили, що причиною була масштабна DDoS-атака.

Експерти пояснюють: DDoS-атаки відбуваються по доволі простій схемі: виконавці посилають запити, створюючи велике навантаження, сервери намагаються на них відповідати. Для цього можуть використувувати або орендувати ботнети зі зламаних пристроїв (роутерів, IoT-девайсів, комп’ютерів). Виконавці зазвичай витрачають на такі атаки на порядок менше ресурсів ніж ті, хто від них захищається.

Виявилось, що її цілями булі й інші банки:  «А-Банк», «Альфа Банк Україна» та monobank, які від неї не постраждали. Водночас в офлайн пішли сайти кількох українських відомств, зокрема портал Міноборони, ЗСУ та Міністерства з питань реінтеграції тимчасово окупованих територій.

Атака була доволі масштабною, йшла у три хвилі, тривала кілька годин, і протягом години деякі сервіси, зокрема, сайт, банкомати та інтернет-банкінг не працювали. Проблеми з доступом до «Приват24» були до ночі.

Міністр цифрової трансформації Михайло Федоров повідомив, що атакували також і портал «Дія». Але атаку вдалось відбити.

Атака на держсайти тривала до ранку 16 лютого.

У коментарі виданню Liga.net Міноборони повідомили, що їхній сайт захищений від класичних DDoS-атак, тому вдалися до пошуку вразливих місць у коді самого сайту.

За даними СБУ, фахівці ситуаційного центру забезпечення кібербезпеки цієї служби лише у січні 2022 року нейтралізували 121 кібератаку на державні органи.

«Ціллю на початку були “ПриватБанк”, “Ощадбанк” та вебсервери МОУ та ЗСУ. “ПриватБанк” намагався втримати більш критичні сервіси (транзакції, термінали), жертвуючи менш критичними, додатком “Приват24”. “Ощад” теж через деякий час впорався. Вебсервери МОУ та ЗСУ, на жаль, — не гравці цього рівня, в них майже не було шансів. Потім акцент змістився на оператора “Датагруп”, де обслуговуються DNS-сервери домену gov.ua (про цей етап атаки детальніше написано нижче — ред.). Цю частку атаки досить швидко зупинили співробітники оператора, додавши більше anycast-серверів. Але деякі сайти (МОУ, ДСНС) не вмикали, щоб знизити навантаження», - цитує видання AIN.UA фахівця із кібербезпеки, Senior Consultant у Armorum Solutions Кіра Важницького.

Атаку спрямували проти сайтів у домені gov.ua. Під час атаки також було підвищене навантаження на DNS-сервери, що забезпечують роботу доменів у com.ua та org.ua.

Вона була доволі потужна: до 150 Гбіт/с у пікові моменти. Для порівняння, одна з найпотужніших нещодавніх DDoS-атак, за даними Akamai, відбулася весною 2021 року на європейську гемблінгову компанію, на рівні 800 Гбіт/с.

Атаку на держсайти посилив ще й «ефект доміно»:

«Ми спостерігали численні атаки і все ще боремося», — коментує адміністратор домену .ua Дмитро Кохманюк. — 65 Гбіт/с — це лише один з вузлів, і їх було чимало. На жаль, кілька провайдерів почали відключати наше обладнання від інтернету, що призвело до ефекту доміно та збільшенню навантаження на інші вузли».

Атака на держресурси, за даними «Хостмастера», почалася 15 лютого о 20:21 і тривала більше п’ятьох годин. Її джерелом були як закордонні, так і українські IP-адреси, одначе детальніших даних про географію у компанії поки немає.

Уночі з 15 на 16 лютого спеціалістам компанії вдалося підключити резервні сервери, що дозволило підтримати доменну систему у робочому стані.

За інформацією Незалежної асоціації банків України, DDоS-атак з 15 лютого зазнали близько 15 українських банків.

Виконавча директорка асоціації Олена Коробкова розповіла подробиці дій хакерів:

"Атаки були розумними, не такими, як раніше. Вони маскувались, що на сайт заходить багато користувачів і намагалися "доснути" програми та сайти банків", - сказала вона в ході Legal Banking Forum 2022 у середу.

На щастя, ніяких втрат, пошкоджень, викрадень»,  за словами заступника секретаря Ради нацбезпеки та оборони Сергія Демедюка, не відбулося. «Фінансова частина працює у сталому режимі, енергетична сфера працює безперебійно, всі працюють у штатному режимі», - заявив чиновник.

Тим не менше, кібератаки тривають досі, зазначив голова Держспецзв'язку Віктор Жора.

КОМЕНТАРІ

«У НАС ЗНАЧНА ЧАСТИНА КРИТИЧНОЇ ІНФРАСТРУКТУРИ — ВІДНОСНО АНАЛОГОВА І МАЄ РЕЗЕРВНІ СПОСОБИ РУЧНОГО УПРАВЛІННЯ»

Микита Книш, Founder і СЕО HackControl

- Ніяка сучасна війна не проходить без задіяння кібер військ. Якщо росіянці (не росіяни, а саме росіянці, я наполягаю) підуть в атаку, то логічно задіяти і кібервійська для нападу.

На щастя для нас, у нас значна частина критичної інфраструктури — відносно аналогова і має резервні способи ручного управління. SCADA системи, як правило, мають кілька способів управління, і в разі блокування або захоплення зовнішнього каналу управління цілком можуть перейти на ручний режим управління.

Тут нам пощастило, що ми відстаємо від США, у нас слюсар Вася завжди руками може включити рубильник або відкрутити вентиль.

Що будуть атакувати, якщо будуть атакувати? Я б лупив по стільниковому зв’язку насамперед, щоб не могли люди викладати відео танків і військ. Потім атакував би все що пов’язано з електроенергією, у нас це не складно досить покласти. Системи управління від того ж ДТЕК, наприклад, і будуть змушені перейти на ручне управління. Наскільки мені відомо, це не велика проблема, але я не експерт в енергетиці.

Найскладніше буде з ядерними електростанціями, там з високою часткою ймовірності використовується росіянський софт, або у них є такий же, на якому можна потренуватися. Знову ж таки, на щастя для нас, там автоматика відключена від інтернету і як правило дублюється.

Наші архіви СБУ зберігаються на папері. Архіви МВС в більшості своїй теж паперові. Наші реєстри не представляють особливої цінності, бо, думаю, у росіян і так є база даних українців.

«ЯКЩО «ГАРЯЧА» ВІЙНА ПОЧНЕТЬСЯ, ВОНА ПОЧНЕТЬСЯ САМЕ З КІБЕРАТАК»

Максим ТУЛЬЄВ, член правління Інтернет-асоціації України:

- Можливі кібератаки будуть зав’язані під війну, про яку зараз говорять багато. Якщо «гаряча» війна почнеться, вона почнеться саме з кібератак по об'єктах критичної інфраструктури: енергетика, зв’язок, водопостачання.

Думаю, що телеком якраз найбільш підготовлений до таких атак, тому що там є люди, фахівці, адміни. У той час як з об'єктами енергетики та водопостачання все гірше. Без ескалації конфлікту кібератаки не мають сенсу.

«ЗАРАЗ ДІЙСНО ПІДВИЩЕНИЙ РИЗИК КІБЕРАТАК, БО ЦЕ ОДИН З МЕХАНІЗМІВ ВІЙНИ»

Сергій ДЕНИСЕНКО, експерт з кібербезпеки, виконавчий директор Лабораторії комп’ютерної криміналістики Cyberlab

- Зараз дійсно підвищений ризик кібератак, бо це один з механізмів війни. Всі об'єкти, які можуть бути схильні до кібератак, можна розділити на три категорії: критична інфраструктура, бізнес і власне користувачі. 

Основний напрямок кібератак, які постійно здійснюються і без ескалації, — це об'єкти критичної інфраструктури. Яскравий приклад — вірус Петя, метою запуску якого було зупинити процеси в цілому по всій країні.

У сьогоднішніх реаліях, коли є загроза фізичного вторгнення, атакувати можуть сукупно в усіх напрямках. Мета — дезорієнтувати населення і посіяти панічні настрої, показавши, що зламані важливі для життя країни ресурси.

Критичну інфраструктуру, на мій погляд, захистили від можливих кібератак грамотно. Ті ж атомні та теплоелектростанції збудували систему безпеки щодо обміну інформацією, її зберігання. Основний ризик тут — людський фактор, коли інсайдери, працівники таких об'єктів будуть продаватися російським спецслужбам і здійснювати зраду в частині інформування про систему роботи тієї чи іншої системи.

Фінансові об'єкти — банки, великі компанії, промислові підприємства — знаходяться в більш сумному становищі, оскільки інформаційна безпека у них не на першому місці. Їх головна мета — збагачення. Але більшість бізнесу вже отримали досвід зіткнення з хакерами. Тільки наша компанія брала участь у розслідуванні атак на великий бізнес з метою пресингу на них. Це була мережа аптек, кілька агрохолдингів.

Основні ризики ймовірних атак для простих людей — це втручання в роботу баз даних, де зберігаються персональні дані.

Власниками цих БД є держоргани — МВС, податкова, МОЗ та інші. Ці дані в контексті війни використовувати в принципі нема чого, але їх витік може посіяти паніку серед населення, що істотно дискредитує державу і дестабілізує ситуацію в країні.