Мінфін під атакою: як Україна пережила фінансову кризу, а цього майже ніхто не помітив

Міністерство фінансів і Держказначейство пережили масштабну хакерську атаку. В результаті дій кіберзлочинців протягом двох днів була заблокована вся фінансова система країни: бізнес не міг платити податки, а органи казначейства мали проблеми з повноцінним виконанням платежів. Мова йде про 150 тисяч трансакцій на добу. Вчора робота фінансового сектора України була відновлена, а уряд виділив 80 млн грн з резервного фонду для заміни IT обладнання, яке працює ще з минулого століття.

Кібератаку в Мінфіні пов'язують зі спробою зірвати бюджетний процес і антикорупційні реформи. У правоохоронних органах РБК-Україна повідомили, що, за попередніми даними, був використаний аналог вірусу BlackЕnergy, яким рік тому були заражені мережі «Прикарпаттяобленерго» та міжнародного аеропорту «Бориспіль».

Варто визнати, злочинцям не чуже почуття смаку. Хакери дали зрозуміти, якої мети вони досягають – таку, як і група компьютерщиків-фріків в серіалі "Mr. Robot", який за останні два роки став лауреатом премії "Золотий глобус", Emmy та Peabody.

"Завислі" платежі

У вівторок вранці, 6 грудня – система державного управління фінансовими потоками України «лягла». Були заблоковані структури Міністерства фінансів, Держказначейства не могло проводити платежі, гроші для сплати податків з рахунків бізнесу списувалися, але система кошти «не бачила».

"Привіт, друже. Ми знову тут. Битва почалася, але до кінця війни ще далеко. Сила залишається безмежною. Після всього, що сталося, хто насправді все контролює? Ти не можеш перестати бути маріонеткою, якщо ти навіть ніколи не бачив ниточки, за які смикають. Ти хотів врятувати світ. Ти думаєш, що це так просто? Ми запалили полум'я революції. І тепер ми вирішуємо, чи буде воно горіти або згасне, або розгориться по-справжньому. Наша справжня робота тільки починається..." - цей запис бачили користувачі, заходячи на сайт Держказначейства.

Фото: Цей запис могли прочитати ті, хто заходив на сайт Держказначейства

Ті, хто вчитався в цей запис могли подумати що завгодно, але лише деякі впізнали в ньому цитату з американського серіалу "Mr. Robot". Це кримінальна драма про молодого хлопця на ім'я Еліот. Його видатні здібності користуються попитом серед організацій урядового рівня, що спеціалізуються на кібербезпеці. Але одного разу на зв'язок з ним виходить якийсь містер Робот, який є лідером великого підпільного руху, який, прикриваючись гучними гаслами, насправді хоче обрушити найбільші американські корпорації.

Поки бізнес грав головну роль, але вже в реальності і з'ясовував, куди ж діваються гроші, Мінфін мовчав. «Митні платежі підвисли. Гроші списувалися з рахунків ГФС, звідти до бюджету, і все. Тиша, нічого не зрозуміло, - розповідає віце-президент Українського союзу промисловців і підприємців Юлія Дроговоз. – У системі електронного адміністрування ПДВ не було зареєстровано ні однієї накладної. А якщо вчасно цього не зробити – штраф».

У міністерстві відреагували лише вечором вівторка, назвавши інцидент «скоординованою хакерською атакою». Пізніше з'ясувалося, що це було найбільш масштабне хакерское втручання в роботу фінансових органів України за всю їх історію. Атаки вдалося зупинити до 7 грудня, і тоді ж почалось відновлення системи для того, щоб уникнути затримок з платежами.

В уряді впевнені, що втручання в систему і її блокування здійснювалося ззовні. За даними E-data, щодня органи казначейства здійснюють в середньому 150 тисяч трансакцій. Обсяг перекачуваних коштів міняється день від дня. Так, наприклад, напередодні кібератаки - 5 грудня - ГФС передало в казначейство реєстр на відшкодування ПДВ на суму понад 760 млн грн, які казначейство повинно було повернути платникам. Також на початок місяця припадають виплати пенсій, соцдопомоги і зарплат. Під кінець місяця рух по рахункам збільшується. Так, тільки по поверненню ПДВ сума може доходити до 10 млрд гривень в день.

«Казначейство в середу відновило роботу, зараз обговорюємо питання, як зробити так, щоб бізнесу не виписували штрафи», - розповіли РБК-Україна в Мінфіні. У прес-службі відомства додають, що пошкоджені сервери, внутрішні мережі та бази знову функціонують, а всю інформацію вдалося зберегти. «Внутрішні системи поступово підключають: систему діловодства, пошту, Інтернет. Але поки все нестабільно працює», - зазначає співрозмовник видання в міністерстві.

На кібератаку уряд відреагував моментально, в середу розпорядившись виділити Мінфіну і Держказначейству 80 млн гривень з резервного фонду на заміну старого IT обладнання, що працює ще з минулого століття. Гроші підуть на закупівлю нового активного мережевого обладнання, маршрутизаторів, комутаторів, засобів резервування та копіювання, а також раннього виявлення і попередження проникнення у систему.

З вівторка в уряді з кібератакою розбираються співробітники СБУ, кіберполіція і представники Держслужби спецзв'язку. За інформацією РБК-Україна з правоохоронних органів, до вечора 8 грудня система була відновлена на 90%. Вона поки не підключена до мережі Інтернет, так як не знайдена основна причина –«діра», через яку пройшли хакери. «На місцях все відновлено і працює в штатному режимі. Умовно, в «ручному» режимі всі платежі, трансакції видно, в автоматичному - поки що ні, - розповідає джерело РБК-Україна в МВС. - В кіберпросторі, як і в реальності, завжди залишаються сліди, тому рано чи пізно це виведе нас на того, хто це зробив, а згодом і на замовника».

Якщо пошук кіберзлочинців був початий «по гарячих слідах», то ймовірність їх виявлення достатньо велика. В іншому випадку – 50 на 50, пояснює екс-керівник Державного центру реагування на кіберзлочини Ігор Козаченко.

Співрозмовник РБК-Україна в МВС розповів, що хакер або хакери використовували для злому Мінфіну аналог вірусу BlackEnergy, яким у грудні 2015 року були заражені системи «Прикарпаттяобленерго», а в січні 2016 року - міжнародного аеропорту «Бориспіль». «Наші чиновники не врахували той досвід і нічого не зробили, щоб держслужбовці не допускали помилок, коли користуються Інтернетом. Недбалість деяких чиновників призводить до того, що вони через себе, через особисті комп'ютери, заносять вірус в систему», - пояснює він.

Він нагадав, про ще одну масштабну кібератаку, з якої, за його словами, також не винесені уроки. Вона була здійснена у 2014 році, під час президентських виборів, на Центральну виборчу комісію.Тоді втручання у систему було зовні, згадує Козаченко, на комп'ютери приходили «листи щастя», які були благополучно відкриті співробітниками. «Потрібно вичищати повністю систему, і ми тоді працювали з 360 комп'ютерами. Ми ж всі розуміємо - залиш один заражений комп'ютер, через час захворіють усі», - пояснює експерт.

Атака вітчизняного виробництва

У Мінфіні впевнені, що замовники атаки спробували дестабілізувати бюджетний процес, зірвавши платежі, а також намагались перешкодити прийняттю та впровадження антикорупційних ініціатив. «У реформ завжди є вороги, в антикорупційних змін завжди багато ворогів. Чим сильніше намагаються протидіяти нашим ініціативам, тим більше ми отримуємо підтверджень, що ми на правильному шляху», - йдеться в повідомленні Мінфіну.

Як відомо, у понеділок у профільному парламентському комітеті було прийнято рішення рекомендувати до прийняття в першому читанні і в цілому законопроект №5368, який серед іншого передбачає передачу в управління Мінфіну баз даних, якими зараз «завідує» ГФС. Голова служби Роман Насіров неодноразово висловлювався проти цієї ідеї, а міністр фінансів Олександр Данилюк навпроти, був налаштований припинити ручне «втручання в бази даних. «У вівторок №5368 мав голосуватися в залі. А в ніч з понеділка на вівторок всі сервери і поклали», - відзначає один з чиновників Мінфіну. «Слава Богу, що система «лягла» на початку місяця, але не добре, що все це сталося під час прийняття антикорупційних законопроектів. В теорії змов я не вірю, але щось вже підозріло все виглядає», - додає ще один співрозмовник РБК-Україна в міністерстві.

Блокування системи повинно було показати неспроможність Мінфіну. Мовляв, як можна передавати всі бази даних з величезним масивом інформації про платників в умовах, коли навіть немає нормальної системи захисту. Ще влітку депутати-члени комітету побоювалися, що, коли настане час голосування, ГФС зробить все, щоб заблокувати процес прийняття таких норм. Слід зауважити, що вчорашній розгляд законопроектів №5368 і 5369 з пакета податкових змін виглядав жалюгідним: якщо перший документ прийняли за основу з першого разу, то проголосувати за другий спікер Ради Андрій Парубій умовляв депутатів півгодини. До цих питань парламентарі планують повернутися на наступному пленарному тижні.

РБК-Україна вдалося поставити голові ГФС питання щодо того, чи можливі збої, подібні тим, які відбулися в Мінфіні і Держказначействі у вівторок, після того, як бази даних будуть передані від ГФС в міністерство. «Думаю, ніхто не знає, але дуже ймовірно», - написав він під час листування. На друге питання – про те, що він знаходиться в числі тих, кого підозрюють в організації атаки на Мінфін – Роман Насіров написав наступне: «Це точно не ми. Це 100%». Слід зазначити, що вчора ж стало відомо, що Роман Насіров з невідомої причини закрив свій особистий аккаунт у мережі Facebook.

Біло-синьо-червона рука хакера

Є ще одна версія того, хто може стояти за кібератакою. І тут варто нагадати історію «Прикарпаттяобленерго». Ось як її описує ситуацію на обленерго у своєму репортажі в журналі Wired журналіст Кім Зеттер. «У середу 23 грудня 2015 року до 15.30 жителі Івано-Франківська на західній Україні готувалися до закінчення робочого дня й збиралися йти додому холодним зимовим вулицями. У центрі управління підприємства «Прикарпаттяобленерго», яке розподіляє електроенергію в регіоні, диспетчери практично закінчили свою зміну. Але коли один з них упорядковував папери на столі перед завершенням роботи, курсор на екрані комп'ютера зрушився c місця.

Диспетчер бачив, як курсор цілеспрямовано рушив до кнопок управління автоматичними вимикачами на регіональній підстанції, потім натиснув кнопку для виклику вікна з вимикачами, щоб вивести підстанцію в офлайн. На екрані виникло діалогове вікно з вимогою підтвердити операцію, а оператор приголомшено дивився, як курсор ковзнув у це вікно і натиснув кнопку підтвердження. Він знав, що десь в районі за містом тисячі будинків тільки що позбулися світла»

До розслідування цієї атаки були залучені не тільки українські правоохоронні органи, але і ФБР, ЦРУ і Агентство національної безпеки США. Слідство встановило, що атака на обленерго (її наслідки фахівці усували до березня 2016 року) почалася більш ніж за півроку з фішинг-кампанії, спрямованої на ІТ-персонал. На їх адреси приходили листи з документом Word у аттачі. При запуску документа з'являлося вікно з проханням включити виконання макросів. Якщо користувач робив це, то на комп'ютер встановлювалася програма під назвою BlackEnergy з можливістю віддаленого доступу до комп'ютера.

Україна відразу ж звинуватила в атаці російські спецслужби. «Служба безпеки України попередила спробу російських спецслужб вразити комп'ютерні мережі об'єктів енергетичного комплексу України. Співробітники СБ України виявили шкідливе програмне забезпечення в мережах окремих обласних енергетичних підприємств. Вірусна атака супроводжувалася безперервними дзвінками (телефонним "флудом") на номери техпідтримки обленерго», – говорилося в повідомленні СБУ від 28 грудня 2015 року.

За остаточно непідтвердженою інформацією атаку на обленерго провела група «Піщаний хробак» (Sandworm, вона ж Quedagh). Саме їх мережа використовувалася для атаки на державні та комерційні організації не тільки в Україні, але і в Польщі. За словами експертів, команда «Піщаний хробак» - одна з найбільш технічно просунутих хакерських груп світу. На Заході її вважають постійною загрозою, що має держпідтримку і використовується в політичних цілях Російською Федерацією.

Справді за атакою на Мінфін варто Sandworm ще належить з'ясувати слідству.