Приватизация “Укртелекома” сделала национальную ІТ-инфраструктуру более уязвимой для кибератак

CERT-UA (Computer Emergency Response Team of Ukraine — команда реагирования на компьютерные ЧП в Украине) решила наладить взаимодействие с операторами передачи данных. На прошлой неделе была проведена первая встреча, в которой участвовали представители госорганов, точек обмена трафиком, операторов “Воля”, МТС, “Фринет” (O3), Vega, “Адамант” и др. Об этом пишет Капитал.

“Мы хотим создать условия для безопасного интернета”, — отметил специалист команды реагирования Николай Коваль. Операторы подготовят свои предложения. По словам представителя CERT, такое сотрудничество поможет значительно сократить срок реагирования на кибератаки.

В Украине планируется создать систему активного мониторинга интернет-угроз по образцу международного проекта HoneyNet. Президент компании “Адамант” Иван Петухов говорит, что операторы сами начали дискуссию с CERT об участившихся атаках в их сетях и направили письма об угрозах в Кабмин. По его словам, CERT в последнее время реагирует гораздо оперативнее. “Уже не нужно им звонить, в течение 20 минут после начала атаки они звонят сами”, — радуется он.

В последнее время, по словам Петухова, количество атак и их интенсивность возросли. В четверг CERT сообщила о массированной DDoS-атаке на сайт Кабмина. Заблокировать командный центр бот-сети удалось за 45 минут. Опять таки, благодаря оперативной реакции телеком-операторов Tenet и ИТЛ. В ходе анализа этой атаки выяснилось, что основной сервер находился в Германии. Но при этом в украинском сегменте тоже было выявлено около 3 тыс. уникальных IP-адресов, которые принадлежали компьютерам, зараженным вирусами и ставшим участниками бот-сети. Операторы связи в таких случаях будут информировать клиентов, что их компьютеры заражены вирусами, и настойчиво рекомендовать принять меры по проведению антивирусных проверок и удалению вредоносных программ.

Серьезной атаке подвергся 4 апреля и сайт Генпрокуратуры. Ее мощность доходила до 5 Гбит/сек, а основные источники находились в США. В результате проверки выяснилось, что четвертая часть IP-адресов принадлежала домашним маршрутизаторам, IP-камерам, системам видеоконференц-связи. На то, что домашний маршрутизатор заражен, указывает его постоянное зависание, периодическое снижение скорости интернет-соединения. В конце марта возобновилась также рассылка вредоносного спама с использованием доменного имени Миндоходов (minrd.gov.ua). Сообщения содержали файлы в виде счетов к оплате или жалоб на невозможность получения писем. При их открытии компьютер пользователя заражался вирусом. CERT боролась с этой атакой весь февраль, а через месяц она возобновилась.

Основная проблема в отражении таких атак заключается в том, что в госорганах часто нет постоянных специалистов, отвечающих за интернет. Поэтому и давать экстренные рекомендации зачастую некому.

Участившиеся атаки на сайты госорганов и заражение их компьютеров — только верхушка айсберга. В прошлом месяце европейские компании, занимающиеся кибербезопасностью, сообщили CERT, что в первую очередь на украинские ресурсы осуществляется атака с использованием неизвестного вредоносного ПО под кодовым названием Uroburos.

Анализ показал, что по ряду характеристик это ПО похоже на троянскую программу Agent.BTZ. Она распространялась в 2008 г. в системах вооруженных сил США через USB-накопители. В результате от использования устройств пришлось полностью отказаться, так как это ставило под угрозу кибербезопасность страны.

В нашей стране о киберугрозах в нацбезопасности только начинают рассуждать. Критические объекты ІТ-инфраструктуры еще не определены. Национальный центр управления сетями во время чрезвычайных ситуаций после приватизации “Укртелекома” тоже не создан. Но, вероятно, уже слишком поздно.

“Учитывая основные возможности, а также особенности и географию распространения вируса Uroburos в контексте растущей напряженности украинско-российских отношений, не исключено, что его главной целью является нарушение функционирования объектов информационной инфраструктуры Украины для похищения конфиденциальной информации”, — говорится в недавнем сообщении CERT.

Тщательная подготовка, скрытность действий, направленность кибератак (как в США в 2008 г., так и в Украине в 2014-м), а также привлечение значительных ресурсов — все это косвенно свидетельствует о причастности иностранных спецслужб и цели установить контроль и наблюдение за обменом информацией, считают специалисты CERT.