В Украине началась кибервойна

CERT решил подключить интернет-провайдеров к борьбе с киберпреступностью

Фото: Евгений Мусиенко

CERT-UA (Computer Emergency Response Team of Ukraine — команда реагирования на компьютерные ЧП в Украине) решила наладить взаимодействие с операторами передачи данных. На прошлой неделе была проведена первая встреча, в которой участвовали представители госорганов, точек обмена трафиком, операторов «Воля», МТС, «Фринет» (O3), Vega, «Адамант» и др. «Мы хотим создать условия для безопасного интернета», — отметил специалист команды реагирования Николай Коваль. Операторы подготовят свои предложения. По словам представителя CERT, такое сотрудничество поможет значительно сократить срок реагирования на кибератаки.

В Украине планируется создать систему активного мониторинга интернет-угроз по образцу международного проекта HoneyNet. Президент компании «Адамант» Иван Петухов говорит, что операторы сами начали дискуссию с CERT об участившихся атаках в их сетях и направили письма об угрозах в Кабмин. По его словам, CERT в последнее время реагирует гораздо оперативнее. «Уже не нужно им звонить, в течение 20 минут после начала атаки они звонят сами», — радуется он.

Почему «лежат» сайты госорганов

В последнее время, по словам Петухова, количество атак и их интенсивность возросли. В четверг CERT сообщила о массированной DDoS-атаке на сайт Кабмина. Заблокировать командный центр бот-сети удалось за 45 минут. Опять‑таки, благодаря оперативной реакции телеком-операторов Tenet и ИТЛ. В ходе анализа этой атаки выяснилось, что основной сервер находился в Германии. Но при этом в украинском сегменте тоже было выявлено около 3 тыс. уникальных IP-адресов, которые принадлежали компьютерам, зараженным вирусами и ставшим участниками бот-сети. Операторы связи в таких случаях будут информировать клиентов, что их компьютеры заражены вирусами, и настойчиво рекомендовать принять меры по проведению антивирусных проверок и удалению вредоносных программ.

Серьезной атаке подвергся 4 апреля и сайт Генпрокуратуры. Ее мощность доходила до 5 Гбит / сек, а основные источники находились в США. В результате проверки выяснилось, что четвертая часть IP-адресов принадлежала домашним маршрутизаторам, IP-камерам, системам видеоконференц­связи. На то, что домашний маршрутизатор заражен, указывает его постоянное зависание, периодическое снижение скорости интернет-соединения. В конце марта возобновилась также рассылка вредоносного спама с использованием доменного имени Миндоходов (minrd.gov.ua). Сообщения содержали файлы в виде счетов к оплате или жалоб на невозможность получения писем. При их открытии компьютер пользователя заражался вирусом. CERT боролась с этой атакой весь февраль, а через месяц она возобновилась.

Основная проблема в отражении таких атак заключается в том, что в госорганах часто нет постоянных специалистов, отвечающих за интернет. Поэтому и давать экстренные рекомендации зачастую некому.

Кибервойна уже началась

Участившиеся атаки на сайты госорганов и заражение их компьютеров — только верхушка айсберга. В прошлом месяце европейские компании, занимающиеся кибербезопасностью, сообщили CERT, что в первую очередь на украинские ресурсы осуществляется атака с использованием неизвестного вредоносного ПО под кодовым названием Uroburos.

Анализ показал, что по ряду характеристик это ПО похоже на троянскую программу Agent.BTZ. Она распространялась в 2008 г. в системах вооруженных сил США через USB-накопители. В результате от использования устройств пришлось полностью отказаться, так как это ставило под угрозу кибербезопасность страны.

В нашей стране о киберугрозах в нацбез­опасности только начинают рассуждать. Критические объекты ІТ-инфраструкту­ры еще не определены. Национальный центр управления сетями во время чрезвычайных ситуаций после приватизации «Укртелекома» тоже не создан. Но, вероятно, уже слишком поздно.

3 тыс. компьютеров украинских пользователей подключены к бот-сетям

«Учитывая основные возможности, а также особенности и географию распространения вируса Uroburos в контексте растущей напряженности украинско-российских отношений, не исключено, что его главной целью является нарушение функционирования объектов информационной инфраструктуры Украины для похищения конфиденциальной информации», — говорится в недавнем сообщении CERT.

Тщательная подготовка, скрытность действий, направленность кибератак (как в США в 2008 г., так и в Украине в 2014-м), а также привлечение значительных ресурсов — все это косвенно свидетельствует о причастности иностранных спецслужб и цели установить контроль и наблюдение за обменом информацией, считают специалисты CERT.

Новое оружие пролетариата

Технически DDoS-атаки бывают очень разными, но их цель всегда одна — снизить или сделать невозможным взаимодействие реальных пользователей с ресурсом. Для этого существуют разнообразные методы воздействия на сайт, сетевую инфраструктуру или даже хостинг. В обычных ситуациях DDoS-атаки используются как инструмент недобросовестной конкурентной борьбы или как способ вымещения недовольства. Их заказчиками чаще всего выступают конкурирующие компании, в более экзотических случаях — недовольные клиенты. Сегодня обеспечение защиты от DDoS-атак собственными силами — практически неподъемная задача для среднего и малого бизнеса.

DDoS-атаки в последнее время стали одним из любимейших орудий злоумышленников, так как их легко организовать, рассказывает менеджер по развитию бизнеса «Лаборатории Касперского» Евгений Виговский. При небольших затратах, по его словам, можно получить работающий сервис для совершения киберпреступления. «Опасность DDoS-атак не только в приостановке работы веб-сайта, но и в том, что они могут оказать целенаправленное или побочное влияние на другие элементы атакуемой сети», — объясняет Виговский. Например, атака на сайт может сказаться на работе пограничного сетевого оборудования, а это затронет и серверы электронной почты, может помешать нормальному протеканию бизнес-процессов организации. Перегрузка каналов связи, вызванная этой же атакой, может затруднить коммуникацию, говорит он.