История DDoS-атак. Была ли готова Украина?

15 февраля Украина пережила самую большую в своей истории DDoS-атаку. Это обернулось сбоями в работе Приват24 и Ощадбанка, а также сайтов Минобороны и ВСУ. О том, что нам придется с этим столкнуться, американские эксперты писали еще несколько лет назад. Но были ли мы готовы? 

Liga.Tech восстановила хронику самых известных политических кибератак и рассказывает, почему войны между государствами теперь переходят в виртуальную плоскость. 

С чего все началось?

Термин "кибервойна" впервые прозвучал в книге Томаса Рида "История всего киберпространства. Восстание машин" в 80-е. Однако там речь шла скорее о той же физической революции, просто совершенной руками роботов.

Все изменилось в 90-е годы. Тогда аналитики центра RAND впервые описали, как военных хакеров вскоре будут использовать не только для слежки за вражескими системами, но и для атаки компьютеров противника. А уже в 2007 году американские исследователи из Национальной лаборатории Айдахо наглядно продемонстрировали, как можно уничтожить дизельный генератор размером с танк с помощью одного лишь вредоносного кода.

DDoS-атаки как способ гибридной войны

Эстонию называют образцом цифрового государства. Это дало стране немало преимуществ, но и сделало первой в истории мишенью мощной кибератаки. В 2007 году беспрецедентная серия DDoS-атак нанесла удар по более чем сотне эстонских веб-сайтов. Это вывело из строя онлайн-банкинг страны, сайты правительства, полиции и ведущих СМИ. В течение двух недель они либо не открывались вовсе, либо работали очень медленно. Атака загадочным образом совпала с решением эстонского правительства перенести советский памятник Бронзовому солдату из центра Таллинна, что вызвало гнев русскоязычного населения страны. 

Тогда удалось выяснить, что часть компьютеров, из которых осуществлялись DDoS-атаки, расположены в России. Более того, ряд IP-адресов указывала на госучреждения России.

Через год подобная ситуация повторилась уже в Грузии. В 2008 году DDoS-атаки на местные сайты шли параллельно с реальным физическим вторжением российских войск. Defacement-атаке подверглись также некоторые оппозиционные сайты Азербайджана и самой России, которые освещали конфликт не в пользу российской стороны. Доступ к ним был на некоторое время заблокирован, а на главных страницах разместили фашистскую символику и фото Саакашвили в компании мировых диктаторов. 

Отключение энергосистем в Украине

В 2019 году американское издание Wired опубликовало хронику крупнейших кибератак в мире за последние годы. В пяти случаях из восьми указывают на связь хакеров с российскими организациями. Две крупнейшие атаки пришлись на украинские системы. 

Подписывайтесь на LIGA.Tech в Telegram: только важное

Точкой отсчета в кибервойне для Украины называют декабрь 2015 года. Хакерам удалось успешно атаковать системы сразу трех энергоснабжающих систем Украины.

Тогда 250 тысяч жителей Западной Украины около шести часов просидели без электричества. Как объяснили в Прикарпатьеоблэнерго, "систему фактически хакнули". Атака произошла с использованием троянской программы BlackEnergу, которая, предположительно, попала в корпоративную систему компании с компьютера одного из сотрудников. Таким образом преступникам на протяжении нескольких месяцев удалось незаметно собирать данные, которые потом использовали для того, чтобы перехватить контроль за управлением системой.  

Параллельно подобные атаки произошли на Черновцыоблэнерго и Киевоблэнерго, но уже с меньшими последствиями. Эти случаи стали первыми в мировой истории, когда отключение электроэнергии произошло по вине хакеров. Как удалось выяснить, атаки были заранее спланированы и скоординированы из единого центра, размещенного в РФ. 

"Это стало мощным сигналом для населения Украины о его уязвимости к удаленным атакам, а миру — о растущем мастерстве российских хакеров", – написали об этом инциденте в издании Wired.

Атака ценой 10 миллиардов

Главным событием кибервойны против Украины стал вирус, который впоследствии получил название NotPetya. В конце июня 2017 года российские хакеры использовали взломанные серверы украинской бухгалтерской фирмы Linkos Group. Ее программным обеспечением M.T.doc пользуется большинство бухгалтеров нашей страны, так что вирус почти мгновенно распространился примерно на 10% всех компьютеров в Украине.

Его жертвами стали как частные компании, так и правительственные учреждения страны и часть инфраструктуры – Кабмин, Мининфраструктуры, Налоговая служба, госконцерн Антонов, Ощадбанк и Укртелеком, аэропорты Борисполь и Жуляны, Укргаздобыча, WOG, ДТЭК, Укрпочта, Укрречфлот, Киевский метрополитен, Киевэнерго, Новая Почта и даже Чернобыльская атомная электростанция.

Буквально через несколько часов вирусу удалось вырваться за пределы страны и заблокировать оборудование по всему миру. Как позже подсчитали в Белом доме, ущерб от вируса может составлять $10 млрд, а его последствия ощущаются до сих пор. В The New York Times тогда также отметили, что атака произошла через неделю после того, как ЕС ввел безвизовый режим для украинцев. 

Что говорят представители власти

15 февраля Украина пережила очередную кибератаку, которую представители государственных служб по кибербезопасности назвали самой серьезной в истории нашей страны. Это произошло накануне того дня, когда, по данным некоторых западных СМИ, Россия должна была начать новое вторжение в Украину. Несмотря на то, что онлайн-банкинг, банкоматы и Ощадбанк не работали в течение нескольких часов, представители госструктур, отвечающих за кибербезопасность, уверяют, что все могло закончиться гораздо хуже. 

По мнению заместителя Секретаря Совета национальной безопасности и обороны Украины Сергея Демедюка, государство в этой ситуации сработала на "отлично". 

"Мы работали слаженно, четко. В очень короткие термины. В борьбе с угрозой помогали не только эксперты из нашей страны, но и украинские партнеры из других стран. Они готовы работать с нами 24/7, независимо от часового пояса", – говорит Демедюк.

По его словам, потерь в финансовой части не было, а сама атака носила характер информационно-психологической и была направлена на то, чтобы вызвать у людей панику. 

Как рассказал глава Минцифры Михаил Федоров, атаку готовили заранее, а стоимость такого заказа – миллионы долларов. В свою очередь Илья Витюк, глава департамента кибербезопасности СБУ, подтвердил связь между вчерашним инцидентом и атаками на государственные сайты 14 января. Он отметил схожесть инфраструктуры, которая использовалась в обоих случаях, а также отметил: "Единственная страна, которая, к сожалению, заинтересована в таких имиджевых атаках на нашу страну, – это Российская Федерация".

Напомним, что после 14 января украинские независимые киберспециалисты не раз заявляли об утечке данных украинцев из государственных реестров, которая произошла в результате атаки на сайты Дия, МИД, МОН и других. Однако украинские власти эту информацию так и не подтвердили. 

Что такое DDoS-атака