1274
Мінфін під атакою: як Україна пережила фінансову кризу, а цього майже ніхто не помітив
— Кримінал
Міністерство Фінансів і Держказначейство пережили масштабну хакерську атаку. В результаті дій кіберзлочинців протягом двох днів була заблокована вся фінансова система країни: бізнес не міг платити податки, а органи казначейства мали проблеми з повноцінним виконанням платежів. Йдеться про 150 тисяч трансакцій на добу. Вчора робота фінансового сектора України була відновлена, а уряд виділив 80 млн грн з резервного фонду для заміни IT обладнання, яке працює ще з минулого століття.
Кібератаку В Мінфіні пов’язують зі спробою зірвати бюджетний процес і антикорупційні реформи. У правоохоронних органах повідомили, що, за попередніми даними, був використаний аналог вірусу BlackЕnergy, яким рік тому були заражені мережі «Прикарпаттяобленерго» і міжнародного аеропорту «Бориспіль».
Варто визнати, що злочинцям мали певне почуття смаку. Хакери дали зрозуміти, якої мети вони домагаються – такої самої, як і група комп’ютерників-фріків в серіалі “Mr. Robot”, який за останні два роки став лауреатом премії “Золотий глобус”, Emmy і Peabody.
“Завислі” платежі
У вівторок вранці – 6 грудня – система державного управління фінансовими потоками України «лягла». Заблокованими виявилися структури Міністерства фінансів, Держказначейство не могло проводити платежі, гроші для сплати податків з рахунків бізнесу списувалися, але система кошти «не бачила».
“Привіт, друже. Ми знову тут. Битва почалася, але до кінця війни ще далеко. Сила залишається безмежною. Після всього, що сталося, хто насправді контролює все? Ти не можеш перестати бути маріонеткою, якщо ти навіть ніколи не бачив ниточки , за які смикають. Ти хотів врятувати світ. Ти думаєш, що це так просто? ми запалили полум’я революції. І тепер ми вирішуємо, чи буде воно горіти, чи згасне, чи розгориться по-справжньому. Наша справжня робота тільки починається… “- цей запис бачили користувачі, заходячи на сайт Держказначейства.
Ті, хто вчитався в цей запис, міг подумати що завгодно, але лише деякі впізнали в ньому цитату з американського серіалу “Mr. Robot”. Сюжет цієї кримінальної драми розгортається навколо молодого хлопця на ім’я Еліот. Його видатні здібності користуються попитом серед організацій урядового рівня, що спеціалізуються на кібербезпеці. Але одного разу на зв’язок з ним виходить якийсь містер Робот, який є лідером великого підпільного руху, який, прикриваючись гучними гаслами, насправді хоче обвалити найбільші американські корпорації.
Поки бізнес грав головну роль, але вже в реальності і з’ясовував, куди ж діваються гроші, Мінфін мовчав. «Митні платежі підвисали. Гроші списувалися з рахунків ДФС, звідти до бюджету, і все. Тиша, нічого не зрозуміло, – розповідає віце-президент Українського союзу промисловців і підприємців Юлія Дроговоз. – У системі електронного адміністрування ПДВ не було зареєстровано жодної накладної. А якщо вчасно цього не зробити – штраф».
У міністерстві відреагували тільки ввечері вівторка, назвавши все те, що відбувається «скоординованою хакерською атакою». Пізніше з’ясувалося, що це було найбільш масштабне хакерське втручання в роботу фінансових органів України за всю їх історію. Атаку вдалося зупинити до 7 грудня і тоді ж почалося відновлення системи для того, щоб уникнути затримок з платежами.
В уряді впевнені, що втручання в систему і її блокування здійснювалося ззовні. За даними E-data, щодня органи казначейства здійснюють в середньому 150 тисяч трансакцій. Обсяг коштів, що перекачуються, змінюється з кожним днем. Так, наприклад, напередодні кібератаки – 5 грудня – ДФС передало в казначейство реєстр на відшкодування ПДВ на суму понад 760 млн грн, які казначейство повинно було повернути платникам. Також на початок місяця припадають виплати за пенсіями, соцдопомогами і зарплатами. Під кінець місяця рух по рахунках збільшується. Так, тільки з повернення ПДВ сума може доходити до 10 млрд гривень на день.
«Казначейство в середу відновило роботу, зараз обговорюємо питання, як зробити так, щоб бізнесу не виписували штрафи», – розповіли в Мінфіні. У прес-службі відомства додають, що пошкоджені сервери, внутрішні мережі і бази знову функціонують, а всю інформацію вдалося зберегти. «Внутрішні системи поступово підключають: систему діловодства, пошту, Інтернет. Але поки нестабільно працює все», – зазначає співрозмовник видання в міністерстві.
На кібератаку уряд відреагував моментально, в середу розпорядившись виділити Мінфіну і Держказначейству 80 млн гривень з резервного фонду на заміну старого IT обладнання, що працює ще з минулого століття. Гроші підуть на закупівлю нового активного мережевого обладнання, маршрутизаторів, комутаторів, засобів резервування та копіювання, а також раннього виявлення і попередження проникнення в систему.
З вівторка в уряді з кібератакою розбираються співробітники СБУ, кіберполіції та представники Держслужби спецзв’язку. За інформацією РБК-Україна з правоохоронних органів, до вечора 8 грудня система була відновлена на 90%. Вона поки не підключена до мережі Інтернет, тому що не знайдена основна причина – «діра», через яку пройшли хакери. «На місцях все відновлено і працює в штатному режимі. Умовно, в «ручному» режимі всі платежі, трансакції видно, в автоматичному – поки ні, – розповідає джерело РБК-Україна в МВС. – У кіберпросторі, як і в реальності, завжди залишаються сліди, тому рано чи пізно це виведе нас на того, хто це зробив, а потім і на замовника».
Якщо пошук кіберзлочинців було розпочато «по гарячих слідах», то ймовірність знайти їх досить велика. В іншому випадку – 50 на 50, пояснює екс-керівник Державного центру реагування на кіберзлочини Ігор Козаченко.
Співрозмовник РБК-Україна в МВС розповів, що хакер або хакери використовували для злому Мінфіну аналог вірусу BlackEnergy, яким в грудні 2015 року було заражено системи «Прикарпаттяобленерго», а в січні 2016 року – міжнародного аеропорту «Бориспіль». «Наші чиновники не врахували той досвід і нічого не зробили, щоб держслужбовці не допускали помилок, коли користуються Інтернетом. Халатність деяких чиновників призводить до того, що вони через себе, через особисті комп’ютери, заносять вірус в систему», – пояснює він.
Він нагадав про ще одну масштабну кібератаку, з якої, за його словами, також не винесені уроки. Вона була здійснена в 2014 році, під час президентських виборів, на Центральну виборчу коміссію.Тогда втручання в систему було зовнішнім, згадує Козаченко, на комп’ютери приходили «листи щастя», які були благополучно відкриті співробітниками. «Потрібно вичищати повністю систему, і ми тоді працювали з 360 комп’ютерами. Ми ж всі розуміємо – залиш один заражений комп’ютер, всі згодом захворіють», – пояснює експерт.
Атака вітчизняного виробництва
У Мінфіні впевнені, що замовники атаки спробували дестабілізувати бюджетний процес, зірвавши платежі, а також перешкодити прийняттю і впровадженню антикорупційних ініціатив. «У реформ завжди є вороги, у антикорупційних змін завжди багато ворогів. Чим сильніше намагаються протидіяти нашим ініціативам, тим більше ми отримуємо підтверджень, що ми на правильному шляху», – йдеться в повідомленні Мінфіну.
Як відомо, у понеділок в профільному парламентському комітети було прийнято рішення рекомендувати до прийняття в першому читанні і в цілому законопроект №5368, який серед іншого передбачає передачу в управління Мінфіну баз даних, якими зараз «завідує» ДФС. Глава служби Роман Насіров неодноразово висловлювався проти такої ідеї, а міністр фінансів Олександр Данилюк навпаки, був налаштований припинити «ручне» втручання в бази даних. «У вівторок №5368 повинен був голосуватися в залі. А в ніч з понеділка на вівторок всі сервера і “поклали“», – зазначає один з чиновників Мінфіну. «Слава Богу, що система «лягла» на початку місяця, але не добре, що все це сталося під час прийняття антикорупційних законопроектів. У теорії змов я не вірю, але щось вже підозріло все виглядає», – додає ще один співрозмовник РБК-Україна в міністерстві.
Блокування системи повинно було показати неспроможність Мінфіну. Мовляв, як можна передавати всі бази даних з величезним масивом інформації про платників в умовах, коли навіть немає нормальної системи захисту. Ще влітку депутати-члени комітету побоювалися, що, коли настане час голосування, ДФС зробить все, щоб заблокувати процес прийняття таких норм. Слід зазначити, що вчорашній розгляд законопроектів №5368 і 5369 з пакета податкових змін виглядав жалюгідним: якщо перший документ прийняли за основу з першого разу, то проголосувати за другий спікер Ради Андрій Парубій умовляв депутатів півгодини. До цих питань парламентарії планують повернуться на наступному пленарному тижні.
РБК-Україна вдалося поставити главі ДФС запитання щодо того, чи можливі збої, подібні до того, які відбулися в Мінфіні і Держказначействі у вівторок, після того, як в міністерство будуть передані від ДФС бази даних. «Думаю, ніхто не знає, але дуже ймовірно», – написав він у ході листування. На друге питання – про те, що він знаходиться в числі тих, кого підозрюють в організації атаки на Мінфін – Роман Насіров написав наступне: «Точно це не ми. Це 100%». Примітно, що вчора ж стало відомо, що Роман Насіров з невідомої причини закрив свій особистий аккаунт в мережі Facebook.
Біло-синьо-червона рука хакера
Є ще одна версія того, хто може стояти за кібератакою. І тут варто нагадати історію «Прикарпаттяобленерго». Ось як описує ситуацію на обленерго в своєму репортажі в журналі Wired журналіст Кім Зеттер. «У середу 23 грудня 2015 року в 15.30 жителі Івано-Франківська на західній Україні готувалися до закінчення робочого дня і збиралися йти додому холодними зимовими вулицями. У центрі управління підприємства «Прикарпаттяобленерго», яке розподіляє електроенергію в регіоні, диспетчери практично закінчили свою зміну. Але коли один з них упорядковував папери на столі перед завершенням роботи, курсор на екрані комп’ютера зрушив з місця.
Диспетчер бачив, як курсор цілеспрямовано рушив до кнопок управління автоматичними вимикачами на регіональній підстанції, потім натиснув кнопку для виклику вікна з вимикачами, щоб вивести підстанцію в офлайн. На екрані виникло діалогове вікно з вимогою підтвердити операцію, а оператор ошелешено дивився, як курсор ковзнув в це вікно і натиснув кнопку підтвердження. Він знав, що десь в районі за містом тисячі будинків щойно позбавилися світла».
До розслідування цієї атаки були залучені не тільки українські правоохоронні органи, але і ФБР, ЦРУ і Агентство національної безпеки США. Слідство встановило, що атака на обленерго (її наслідки фахівці усували до березня 2016 року) почалася більш ніж за півроку з фішингової кампанії, спрямованої на IT-персонал. На їні адреси приходили листи з документом Word в аттачі. При запуску документа з’являлося вікно з проханням включити виконання макросів. Якщо користувач робив це, то на комп’ютер встановлювалася програма під назвою BlackEnergy з можливістю для віддаленого доступу до комп’ютера.
Україна відразу ж звинуватила в атаці російські спецслужби. «Служба безпеки України попередила спробу російських спецслужб вразити комп’ютерні мережі об’єктів енергетичного комплексу України. Співробітники СБ України виявили шкідливе програмне забезпечення в мережах окремих обласних енергетичних підприємств. Вірусна атака супроводжувалася безперервними дзвінками (телефонним “флудом”) на номери техпідтримки обленерго», – говорилося в повідомленні СБУ від 28 грудня 2015 року.
За остаточно непідтвердженою інформацією атаку на обленерго провела група «Піщаний черв’як» (Sandworm, вона ж Quedagh). Саме їхня мережа використовувалася для атаки на державні та комерційні організації не тільки в Україні, але і в Польщі. За словами експертів, команда «Піщаний черв’як» – одна з найбільш технічно просунутих хакерських груп світу. На Заході її вважають постійною загрозою, яка має державну підтримку і використовується в політичних цілях Російською Федерацією. Чи справді за атакою на Мінфін стоїть Sandworm – ще належить дізнатися слідству.
Наталя Непряхіна, Валерій Калниш
За матеріалами: РБК-Україна
Поділитися новиною
