Минфин под атакой: как Украина пережила финансовый кризис, а этого почти никто не заметил

"Зависшие" платежи

Во вторник утром – 6 декабря – система государственного управления финансовыми потоками Украины «легла». Заблокированными оказались структуры Министерства финансов, Госказначейство не могло проводить платежи, деньги для уплаты налогов со счетов бизнеса списывались, но система средства «не видела».

"Привет, друг. Мы снова здесь. Битва началась, но до конца войны еще далеко. Сила остается безграничной. После всего, что произошло, кто на самом деле контролирует все? Ты не можешь перестать быть марионеткой, если ты даже никогда не видел ниточки, за которые дергают. Ты хотел спасти мир. Ты думаешь, что это так просто? Мы зажгли пламя революции. И теперь мы решаем, будет ли оно гореть или погаснет, или разгорится по-настоящему. Наша настоящая работа только начинается…" - эту запись видели пользователи, заходя на сайт Госказначейства.

Фото: Эту запись могли прочитать те, кто заходил на сайт Госказначейства

Те, кто вчитался в эту запись мог подумать что угодно, но лишь немногие узнали в ней цитату из американского сериала "Mr. Robot". Сюжет этой криминальной драмы разворачивается вокруг молодого парня по имени Эллиот. Его выдающиеся способности пользуются спросом среди организаций правительственного уровня, специализирующихся на кибербезопасности. Но однажды на связь с ним выходит некий мистер Робот, являющийся лидером крупного подпольного движения, которое, прикрываясь громкими лозунгами, на самом деле хочет обрушить крупнейшие американские корпорации.

Пока бизнес играл главную роль, но уже в реальности и выяснял, куда же деваются деньги, Минфин молчал. «Таможенные платежи подвисли. Деньги списывались со счетов ГФС, оттуда в бюджет, и все. Тишина, ничего не понятно, - рассказывает вице-президент Украинского союза промышленников и предпринимателей Юлия Дроговоз. – В системе электронного администрирования НДС не было зарегистрировано ни одной накладной. А если вовремя этого не сделать – штраф».

В министерстве отреагировали только к вечеру вторника, назвав все происходящее «скоординированной хакерской атакой». Позже выяснилось, что это было наиболее масштабное хакерское вмешательство в работу финансовых органов Украины за всю их историю. Атаки удалось остановить к 7 декабря, и тогда же началось восстановление системы для того, чтобы избежать задержек с платежами.

В правительстве уверены, что вмешательство в систему и ее блокирование осуществлялось извне. По данным E-data, ежедневно органы казначейства осуществляют в среднем 150 тысяч трансакций. Объем перекачиваемых средств меняется день ото дня. Так, например, накануне кибератаки – 5 декабря - ГФС передало в казначейство реестр на возмещение НДС на сумму более 760 млн грн, которые казначейство должно было вернуть плательщикам. Также на начало месяца припадают выплаты по пенсиям, соцпомощи и зарплатам. Под конец месяца движение по счетам увеличивается. Так, только по возврату НДС сумма может доходить до 10 млрд гривен в день.

 «Казначейство в среду восстановило работу, сейчас обсуждаем вопрос, как сделать так, чтобы бизнесу не выписывали штрафы», - рассказали РБК-Украина в Минфине. В пресс-службе ведомства добавляют, что поврежденные серверы, внутренние сети и базы снова функционируют, а всю информацию удалось сохранить. «Внутренние системы постепенно подключают: систему деловодства, почту, Интернет. Но пока нестабильно работает все», - отмечает собеседник издания в министерстве.

На кибератаку правительство отреагировало моментально, в среду распорядившись выделить Минфину и Госказначейству 80 млн гривен из резервного фонда на замену старого IT оборудования, работающего еще с прошлого века. Деньги пойдут на закупку нового активного сетевого оборудования, маршрутизаторов, коммутаторов, средств резервирования и копирования, а также раннего выявления и предупреждения проникновения в систему. 

Со вторника в правительстве с кибератакой разбираются сотрудники СБУ, киберполиция и представители Госслужбы спецсвязи. По информации РБК-Украина из правоохранительных органов, к вечеру 8 декабря система была восстановлена на 90%. Она пока не подключена к сети Интернет, так как не найдена основная причина –«дыра», через которую прошли хакеры. «На местах все восстановлено и работает в штатном режиме. Условно, в «ручном» режиме все платежи, трансакции видны, в автоматическом - пока нет, - рассказывает источник РБК-Украина в МВД. - В киберпространстве, как и в реальности, всегда остаются следы, поэтому рано или поздно это выведет нас на того, кто это сделал, а в последствие и на заказчика».

Если поиск киберпреступников был начат «по горячим следам», то вероятность их выявления достаточно велика. В противном случае – 50 на 50, объясняет экс-руководитель Государственного центра реагирования на киберпреступления Игорь Козаченко.

Собеседник РБК-Украина в МВД рассказал, что хакер или хакеры использовали для взлома Минфина аналог вируса BlackEnergy, которым в декабре 2015 года были заражены системы «Прикарпаттяоблэнерго», а в январе 2016 года – международного аэропорта «Борисполь». «Наши чиновники не учли тот опыт и ничего не предприняли, чтобы госслужащие не допускали ошибок, когда пользуются Интернетом. Халатность некоторых чиновников приводит к тому, что они через себя, через личные компьютеры, заносят вирус в систему», - поясняет он.

Он напомнил про еще одну масштабную кибератаку, из которой, по его словам, также не вынесены уроки. Она была совершена в 2014 году, во время президентских выборов,на Центральную избирательную комиссию.Тогда вмешательство в систему было внешним, вспоминает Козаченко, на компьютеры приходили «письма счастья», которые были благополучно открыты сотрудниками. «Нужно вычищать полностью систему, и мы тогда работали с 360 компьютерами. Мы же все понимаем - оставь один зараженный компьютер, все через время заболеют», - поясняет эксперт.

Атака отечественного производства

В Минфине уверены, что заказчики атаки попытались дестабилизировать бюджетный процесс, сорвав платежи, а также помешать принятию и внедрению антикоррупционных инициатив. «У реформ всегда есть враги, у антикоррупционных изменений всегда много врагов. Чем сильнее пытаются противодействовать нашим инициативам, тем больше мы получаем подтверждений, что мы на правильном пути», - говорится в сообщении Минфина.

Как известно, в понедельник в профильном парламентском комитеты было принято решение рекомендовать к принятию в первом чтении и в целом законопроекта №5368, который среди прочего предполагает передачу в управление Минфина баз данных, которыми сейчас «заведует» ГФС. Глава службы Роман Насиров неоднократно высказывался против такой идеи, а министр финансов Александр Данилюк напротив, был настроен прекратить «ручное» вмешательство в базы данных. «Во вторник №5368 должен был голосоваться в зале. А в ночь с понедельника на вторник все сервера и положили», - отмечает один из чиновников Минфина. «Слава Богу, что система «легла» в начале месяца, но не хорошо, что все это произошло во время принятия антикоррупционных законопроектов. В теории заговоров я не верю, но что-то уже подозрительно все выглядит», - добавляет еще один собеседник РБК-Украина в министерстве.

Блокирование системы должно было показать несостоятельность Минфина. Мол, как можно передавать все базы данных с огромным массивом информации о плательщиках в условиях, когда даже нет нормальной системы защиты. Еще летом депутаты-члены комитета опасались, что, когда наступит время голосования, ГФС сделает все, чтобы заблокировать процесс принятия таких норм. Следует отметить, что вчерашнее рассмотрение законопроектов №5368 и 5369 из пакета налоговых изменений выглядело жалким: если первый документ приняли за основу с первого раза, то проголосовать за второй спикер Рады Андрей Парубий уговаривал депутатов полчаса. К этим вопросам парламентарии планируют вернутся на следующей пленарной неделе.

РБК-Украина удалось задать главе ГФС вопрос относительно того, возможны ли сбои, подобные тому, какие произошли в Минфине и Госказначействе во вторник, после того, как в министерство будут переданы от ГФС базы данных. «Думаю, никто не знает, но очень вероятно», - написал он в ходе переписки. На второй вопрос – о том, что он находится в числе тех, кого подозревают в организации атаки на Минфин – Роман Насиров написал следующее: «Точно это не мы. Это 100%». Примечательно, что вчера же стало известно, что Роман Насиров по неизвестной причине закрыл свой личный аккаунт в сети Facebook.

Бело-сине-красная рука хакера

Есть еще одна версия того, кто может стоять за кибератакой. И здесь стоит напомнить историю «Прикарпаттяоблэнерго». Вот как ее описывает ситуацию на облэнерго в своем репортаже в журнале Wired журналист Ким Зеттер. «В среду 23 декабря 2015 года в 15.30 жители Ивано-Франковска на западной Украине готовились к окончанию рабочего дня и собирались идти домой по холодным зимним улицам. В центре управления предприятия «Прикарпатьеоблэнерго», которое распределяет электроэнергию в регионе, диспетчеры практически закончили свою смену. Но когда один из них приводил в порядок бумаги на столе перед завершением работы, курсор на экране компьютера cдвинулся c места.

Диспетчер видел, как курсор целенаправленно двинулся к кнопкам управления автоматическими выключателями на региональной подстанции, затем нажал кнопку для вызова окна с выключателями, чтобы вывести подстанцию в офлайн. На экране возникло диалоговое окно с требованием подтвердить операцию, а оператор ошарашенно смотрел, как курсор скользнул в это окно и нажал кнопку подтверждения. Он знал, что где-то в районе за городом тысячи домов только что лишились света»

К расследованию этой атаки были привлечены не только украинские правоохранительные органы, но и ФБР, ЦРУ и Агентство национальной безопасности США. Следствие установило, что атака на облэнерго (ее последствия специалисты устраняли до марта 2016 года) началась более чем за полгода с фишинговой кампании, направленной на IT-персонал. На их адреса приходили письма с документом Word в аттаче. При запуске документа появлялось окно с просьбой включить выполнение макросов. Если пользователь делал это, то на компьютер устанавливалась программа под названием BlackEnergy с возможностью для удалённого доступа к компьютеру.

Украина сразу же обвинила в атаке российские спецслужбы. «Служба безопасности Украины пресекла попытку российских спецслужб поразить компьютерные сети объектов энергетического комплекса Украины. Сотрудники СБ Украины обнаружили вредоносное программное обеспечение в сетях отдельных областных энергетических предприятий. Вирусная атака сопровождалась непрерывными звонками (телефонным "флудом") на номера техподдержки облэнерго», – говорилось в сообщении СБУ от 28 декабря 2015 года.

По окончательно неподтвержденной информации атаку на облэнерго провела группа «Песчаный червь» (Sandworm, она же Quedagh). Именно их сеть использовалась для атаки на государственные и коммерческие организации не только в Украине, но и в Польше. По словам экспертов, команда «Песчаный червь» - одна из наиболее технически продвинутых хакерских групп мира. На Западе ее считают постоянной угрозой, имеющей господдержку и используемой в политических целях Российской Федерацией.

Действительно ли за атакой на Минфин стоит Sandworm еще предстоит узнать следствию.