У середині липня Рада національної безпеки і оборони України виступила з повідомленням про новий тип DDOS-атак на телекомунікаційні мережі. Їх особливістю стало те, що під удар потрапили десятки провайдерів по всьому світу, в тому числі, українські. Але головний меседж РНБО полягав у наступному – успішні атаки можуть паралізувати роботу національного сегменту інтернету. Іншими словами, відключити Україну від мережі. РБК-Україна з'ясовувало, наскільки небезпечною є ця загроза. Особливо в контексті масштабної хакерської атаки в червні 2017 року, коли вірус Petya вразив мережі українських компаній, установ, банків та медіа.
Хакерські атаки на Україну в червні 2017 року "поклали" мережі аеропорту "Бориспіль", "Укрпошти", "Укрзалізниці", сайт Кабінету міністрів і ряду інших підприємств.
Програма-шифрувальник поширилася через сервер оновлень для бухгалтерської звітності. Вірус отримав назву Petya.A, оскільки був заснований на коді раніше відомої шкідливої програми 2016 року Petya. Через три роки в Україні заговорили про нову серйозну загрозу.
За словами заступника секретаря РНБО Сергія Демедюка, в червні 2020 одна з DDOS-атак нового типу стала найбільшою в історії, досягнувши значення майже 780 Гбіт/с. Як результат – короткострокове відключення 15% всього світового інтернету і ряду магістральних провайдерів.
Закордонні медіа писали про червневу атаку на один з європейських банків, ім'я якого не розкривали з міркувань конфіденційності. Її потужність на піку становила 809 млн пакетів на секунду, що ставить її в один ряд з найбільшими бот-атаками в історії.
Вразила і неймовірна швидкість, оскільки трафік від нормального показника до понад 400 Гбіт/с виріс лише за кілька секунд, а пікових значень досяг ще за дві хвилини. Фахівці компанії Akamai вважають, що за нею стоїть новий ботнет (заражена мережа). До процесу було залучено велику кількість IP-адрес, не помічених раніше в подібних операціях. Однак, швидше за все, ця атака не пов'язана з виявленою в РНБО.
Рекордні DDOS-атаки фіксувалися в червні (колаж РБК-Україна)
DDOS-атаки ("відмова в обслуговуванні") спрямовані на блокування доступу до веб-сайту або додатку для кінцевих користувачів. Зазвичай хакери генерують велику кількість пакетів або запитів для перевантаження роботи цільової системи, використовуючи безліч зламаних джерел, які можуть бути об'єднані в ботнет.
У цілому для України атаки DDOS типу не є чимось новим. За даними Центру кібербезпеки при Нацкомісії з регулювання у сфері зв'язку та інформатизації (НКРЗІ), у II кварталі 2020 року вони стали причиною 46% кіберінцидентів у державному секторі. У недержавному секторі – лише 1%.
В коментарі РБК-Україна Сергій Демедюк розповів, що відмінність нового типу атаки полягала у використанні не потужностей заражених пристроїв, а стрімінгового відеопотоку для навантаження на IP-адресу.
"Такий тип атаки був використаний в українській мережі вперше. Атака мала метою блокування роботи провайдерів", – підкреслив він.
Атаки були багаторазовими і тривали від 40 хвилин до 1,5 години кілька днів поспіль.Загалом під удар потрапила десята частина всієї мережі в Україні.
Джерелом атак нового типу стала мережа скомпрометованих пристроїв "розумного дому" (IoT). В більшості випадків доступ до них отримували шляхом злому стандартних паролів, після чого хакери брали на себе віддалене управління для подальших дій.
Центр кібербезпеки НКРЗІ уточнює, що очевидними мішенями в цих випадках є роутери та веб-камери. Найбільш вразливе місце – використання пароля за замовчуванням або взагалі його відсутність.
Зловмисники зламують їх за допомогою програмного забезпечення, яке перебирає найпоширеніші варіанти. Як правило, цей процес займає мало часу.
Хакери атакують мережі через роутери і веб-камери (фото pixabay.com)
Конкретно в цій атаці використовувалися зламані веб-камери.
"Їх дефолтні налаштування (наприклад, login: admin, password: admin) були однією з основних причин отримання несанкціонованого доступу до віддаленого управління. Ще цікаво, що атака здійснювалася не на конкретну адресу, а цілими діапазонами, що, власне, виглядало як масивний перебір інформації або пошук конкретної цілі", – сказали РБК-Україна в РНБО.
Що стосується вразливості провайдерів до DDOS-атак із застосуванням пристроїв "розумного дому", відомий під ніком "Шон Таунсенд" співзасновник "Українського кіберальянсу" Андрій Баранович у коментарі РБК-Україна заявив, що в цьому немає нічого принципово нового.
"Будь-який оператор з кваліфікованими інженерами насправді знає, як боротися з DDOS-атаками. Це неприємно, але не смертельно. Те, що Національний координаційний центр кібербезпеки при РНБО помітив цю атаку і пропонує свою допомогу, непогано. Але я вважаю, що це аж ніяк не найнагальніша проблема української інформаційної безпеки", – підкреслив він.
За оцінками РНБО, на сьогодні в країні нараховується майже 10 тисяч пристроїв, через які можуть бути здійснені атаки на інфраструктуру провайдерів. Заступник секретаря Сергій Демедюк заявляв, що цього цілком досить, щоб на деякий час паралізувати український сегмент інтернету.
Своєю чергою, Баранович вважає перебільшеною небезпеку подібних атак, навіть з потужністю під 800 Гбіт/с.
"Це досить багато і може на якийсь час "покласти" провайдера, і навіть провайдера провайдера, але Україну як державу "відключити від Інтернету" не вийде. Багато незалежних операторів, і не ті обсяги", – додав експерт.
Проте при перших підозрах того, що хтось отримав доступ до роутера та інших пристроїв "розумного дому", українцям рекомендують скинути їх до заводських налаштувань, змінити паролі на більш стійкі, по можливості включити двофакторну аутентифікацію і регулярно оновлювати.
З найбільших українських провайдерів за останні кілька тижнів про масову DDOS-атаку заявила тільки компанія "Воля". Протягом трьох днів фіксувалися атаки на абонентські підсистеми, котрі також перейшли на інфраструктуру провайдера в Харкові. В результаті понад 100 тисяч абонентів відчули проблеми з доступом до інтернету, IPTV і телебачення.
Атаки проводилися з десятків тисяч різних IP адрес по всьому світу – США, Малайзія, Тайвань, В'єтнам і т. д. Всю інформацію провайдер передав кіберполіції, але компанія не впевнена, що атаки не повторяться знову, хоча й робить все, щоб цього уникнути.
Інші великі провайдери, такі як "Київстар" та "Укртелеком", не фіксували DDOS-атаку на свої мережі в червні. Однак підкреслюють, що кібератаки періодично мають місце.
Директор департаменту корпоративних комунікацій "Укртелекому" Михайло Шуранов в коментарі РБК-Україна розповів, що майже щодня служби провайдера відстежують і блокують потенційні загрози.
"Наприклад, минулого місяця було заблоковано чергову атаку зловмисників за допомогою поштових вкладень зовнішніх адрес – дуже популярна форма кібератаки", – зазначив Шуранов.
За словами директора з кібербезпеки "Київстару" Юрія Прокопенка, атаки відбуваються час від часу, але негативного впливу на системи провайдера не було. У тому числі завдяки постійному покращенню системи протидії.
"Завдяки цьому, наприклад, "Київстар" був однією з небагатьох великих компаній, які не постраждали від вірусу Petya в 2017 році. Хоча наша інфраструктура також піддавалася активному нападу", – додав він.
Провайдери підкреслюють, що постійно співпрацюють з кіберполіцією та Ситуаційним центром забезпечення кібербезпеки СБУ. Вони діляться досвідом та напрацюваннями у цій сфері для захисту інформаційних систем в Україні.
Крім того, на сьогодні Україна синхронізує законодавство з європейськими нормами з кібербезпеки. Згідно з ним, провайдери зобов'язані надати клієнтам достатній рівень захисту. І якщо ресурси великих операторів не викликають сумнівів, то можливості більш дрібних локальних провайдерів, які обслуговують понад 50% ринку, лишаються під питанням.
За останніми даними, СБУ за перше півріччя 2020 загалом нейтралізувала понад 300 інцидентів, метою яких були об'єкти критичної інфраструктури. До них причетні майже 20 хакерських угруповань, і значну частину їх контролювали з Російської Федерації. Чого не можна поки що сказати про місце, звідки здійснювали DDOS-атака нового типу.
"Зараз ми працюємо над тим, щоб зафіксувати всі цифрові сліди цієї атаки та зібрати інформацію в різних частинах світу, де були зафіксовані такі атаки. Маючи достатню кількість необхідної інформації, ми зможемо зробити висновки про місце її здійснення. У нас вже є певні напрацювання, однак розголошувати їх рано – поки справа знаходиться в компетенції одного з правоохоронних органів кіберзахисту", – розповів РБК-Україна заступник секретаря РНБО Сергій Демедюк.
Він додав, що вже почалася робота над створенням системи виявлення таких атак на ранніх стадіях.
СБУ нейтралізує по кілька сотень кібератак на рік (фото freepik.com)
При цьому за весь 2019 рік фахівці СБУ відбили понад 480 кібератак, і це дає підставу вважати, що Україна зберігає свою привабливість для хакерів. А це, своєю чергою, означає, що надалі перед нами будуть виникати все нові загрози в мережі.
На підтвердження цього минулого тижня стало відомо про DDОS-атаки на сайт Офісу президента України, а також повідомлялося, що кількість підозрілих інцидентів в мережі зросла на 22% в порівнянні з попереднім періодом.
Крім того, Національний координаційний центр кібербезпеки виявив масштабний витік з сервісу Cloudflare, який спеціалізується на захисті від кібератак. У так званому DarkNet опублікували дані 3 млн сайтів з реальними IP-адресами, у тому числі ресурсів з доменами gov.ua і ua.
Частина цих даних належить об'єктам критичної інфраструктури України. Тому власникам скомпрометованих ресурсів порекомендували змінити IP-адреси розміщення сайтів і посилити моніторинг кібератак.