Про кібератаки 15 лютого 2022 року

Костянтин Корсун

Позавчора ввечері було зафіксовано DDoS-атаки на Ощадбанк, ПриватБанк, портал Дія та ще кілька державних установ. Ощадбанк відновився майже одразу, Приват – за кілька годин, а портал Дія лежав аж до ранку. Тут все логічно: хто як готувався до можливих інцидентів – той так і встояв.

Чи мають ці атаки відношення до російсько-української кібервійни?

Цілком можливо. Їх характер схожий на політично-мотивований. Хоча деяким клієнтам Привата приходили повідомлення про списання 70-80 тисяч гривень кредитних коштів, але сам банк пояснив це «помилками внутрішніх систем» і запевнив, що кошти клієнтів не постраждали.

Але зробити остаточні висновки можна буде лише після публікації результатів розслідування. Нашим вітчизняним кібер-борцунам довіри немає через непрофесіоналізм + схильність брехати + нестримну жагу до приховування інформації. Тому особисто я покладаю великі надії на пропозицію допомоги з боку американських фахівців (USAID не пропонувати).

Після атаки NotPetya у червні 2017 команда Cisco Talos прилетіла зі Штатів протягом доби, і компанія Медок надала їм повних доступ до постраждалих систем, в результаті вже за пару днів був опублікований технічний звіт.

Чи станеться так цього разу? Сумніваюся. Адже постраждалими є переважно державні установи, а на них розповсюджуються досить жорсткі законодавчі та адміністративні обмеження. Тому, скоріш за все, розслідувати будуть наші вітчизняні СБУ-CERT-UA-кіберполіція.

А у такому випадку технічного звіту можна чекати місяцями, але так і не дочекатися. Як це було у випадку Прикарпаттяобленерго та «кейсу Джо Байдена».

Загалом DDoS-атаки вважаються найнижчою формою життя у світі кібернападу-кіберзахисту. За співвідношенням ціна-якість це вже давно неефективно. Тому останніми роками DDoS проводять для прикриття, для відволікання уваги. У десятках художніх фільмів організовані злочинці влаштовують якийсь гучний бада-бум у одній частині міста, а поки уся поліція міста кинулася туди – грабують банк у протилежній частині.

Так і з DDoS-ами наразі.

Просто так «спалити» ботнети, щоб на кілька годин заблокувати роботу кількох сайтів? Для чого? Щоби що? Це як влаштовувати феєрверки Джавелінами. Після атаки ботнети «засвітяться» та стануть неефективними, а створювати нові – довго та дорого. Як прикриття більш досконалої атаки – це reasonable, а просто показати «дивись як я можу» – тупо. Хоча дешеві понти кремлівців важко оцінювати логікою здорової людини.

Окремої уваги заслуговує заява Михайла Роль-Кібербезпеки-Перебільшена Федорова.

Я б оцінив її одним словом – «ламер». Повне, тотальне нерозуміння предмету, про який віщаєш публічно. Які ще «мільйони доларів»? Яке ще «довго готувалася»? Дали команду існуючому ботнету – тай й потому, це кілька секунд “підготовки”. Лютий ламерський треш.

Щоб своєчасно виявити, локалізувати та мінімізувати наслідки DDoS-атаки, потрібно мати або свою власну 24/7-команду, або користуватися послугами зовнішньої антиDDoS-компанії. Останній варіант найбільш вірогідний, але казати при цьому «міністерство відбило» – явна неправда. Та і не відбило, між іншим, мабуть, у антиDDoS-фірми просто не вистачило ресурсів. А з таким типом атак все прямо пропорційно: чим більше у тебе ресурсів – тим більшій потужності атак ти спроможний протистояти. В українських антиDDoS-компаній ресурс доволі обмежений, бо дорого. А користуватися сервісами типу AWS, Cloudflare чи Azure державним установам не дозволяє законодавство, бо доведеться анулювати атестат відповідності КСЗІ. Хоча, ось наприклад, МВС України клало на законодавство з прибором.

А «відбити» «найбільшу за всю історію України» DDoS-атаку госушним воєвакам «вдалося», скоріше за все, тому, що атакувальники просто втомилися та виключили рубильник, а DDoS вже досяг якоїсь своєї мети. «О, вже вкрали».

Наостанок наведу кілька шикарних цитат із сюжету ІСТV стосовно стану кіберзахищеності України. Сюжет вийшов в ефір 12 грудня 2021, приблизно за місяць до першої серії кібератак (14 січня 2022).

Отже, насолоджуємося:

«Після масштабних кібератак з боку росії Україна значно підсилила свій віртуальний фронт…»
«… Якщо на якийсь стратегічний об’єкт почнеться атака, це побачать ось тут – в офісі Національного координаційного центру кібербезпеки – фактично український Пентагон…»
«.. якщо на якийсь стратегічний об’єкт почнеться атака, це побачать тут…»
«… Саме звідси плануватимуть контрудар…»
«Лави кіберзахисників активно поповнюються…»

Агов, “український Пентагон”, як ви там, дяді? Бдітє? Усі ж атаки побачили, так, нічого не пропустили?
А як ваші поповнені лави кіберзахисників? Вже планують контрудари?
А ну, вжарте їм своїм потужним засіданням НКЦК РНБО, шоб запорєбріки у штани понакладали.

Підкреслити, гармонізувати, ще одну стратегію намалювати, кілька робочих груп створити, обов’язково згадати «високу оцінку міжнародних партнерів реакції українських державних органів на кібератаку” – оце так відповідь буде, русохакери порозбігаються по кущах.

Не забути відповісти черговою обіцянкою створення кібервійськ та ще одними «кібернавчаннями». Не завадить також наголосити на доцільність розширення взаємодії, приватно-державне партнерство та і взагалі всім «підсилити відповідальність».

І так, ще одну (а краще кілька) кримінальну справу проти кіберактивістів-волонтерів також було б потужно. В суд подати на противного блогера, як отой дурнуватий заступник міністра. Давайте, не стримуйте себе, бо ж путін нападе, а Захід грошей не дасть.

Хоча стоп.

“Заступник Секретаря Ради національної безпеки і оборони України Сергій Демедюк на «відмінно» оцінив реакцію державної системи кібербезпеки на останню кібератаку”.

Вас вже вдруге за цей рік облили рідким лайном та принизили на весь світ, а ви називаєте це великою перемогою? А шо, так можна було? Це дійсно працює?

А давайте так само Олімпіаду виграємо, як футболісти Північній Кореї виграють усі чемпіонати світу? Просто скажемо, що “насправді все пройшло на відмінно”, та й усіх ділов. Бінго.

За таких критичних самооцінок в Україні взагалі ніколи не буде національної кібербезпеки. “Війна — це мир, свобода — це рабство, незнання — сила.” Все по Орвеллу.

Нові атаки я вангував рівно місяць тому.

Тоді ж вангував точнісінько такі ж самі висновки з атак: Назар, Ігор, Христина, Уляна, Ярослав.

Фактично ж, нові кібератаки запорєбріки здійснюватимуть тоді, коли самі захочуть і коли їм буде вигідно. Тому що можуть, і тому що це легко, майже безперешкодно.

А наостанок вкотре поставлю риторичне питання: який рівень дна необхідно пробити, щоб українська влада почала нарешті займатися справжньою, не імітаційною національною кібербезпекою? Що такого прям жахливого має статися? І чи існує у цьому світі сила, здатна пробити кілометровий бетон чиновницької профанської самозакоханості?

Навіть не уявляю.

Тому до нових масштабних кібератак. Можливо, через місяць. А може, й раніше.

Автор