Кому выгодны кибератаки на сайты Минфина и Госказначейства
6 декабря хакеры взломали сайты Государственной казначейской службы и Министерства финансов.
Доступ к ресурсам пока не восстановлен.
На взломанном сайте Госказначейства хакеры оставили "послание":
"Привет, друг. А вот и мы, снова. Битва началась, но война далека от окончания. Силы остаются неконтролируемыми. Карты остаются спутанными. Даже после всего того, что случилось, кто контролирует ситуацию? Ты не прекратишь быть марионеткой, если ты никогда не видел веревок. Ты хотел спасти мир. Ты правда думал, что это будет так просто? Мы зажигаем фитиль революции. Сейчас мы решаем, оно пошипит и остынет, или в самом деле воспламенится. Наша настоящая работа только начинается".
Тем временем на странице Минфина в Фейсбуке начали появляться жалобы налогоплательщиков.
Представители Минфина пока на них не реагируют.
Судя по заявлению этого ведомства, уже открыто уголовное производство по фактам взлома. В киберполиции пока не уточняют детали. Также еще не ответили на вопрос издания, какие превентивные меры предпринимаются для недопущения дальнейших вылазок этих "революционеров".
Руководитель частной киберлаборатории, которая подключена к расследованию и занимается анализом технической составляющей, сообщил, что о деталях сможет рассказать не ранее, чем в конце недели. Пока же пояснил, что это нестандартные атаки: "Отдельный случай с определенными целями".
Действительно, самое интересное - цели заказчиков атаки. В СМИ начали появляться версии, что сайты взломали российские хакеры. Якобы так они поздравили нас с Днем украинской армии. Но остается открытым вопрос: почему же тогда хакеры вывели в офлайн сайты финучреждений, а не Минобороны.
В Минфине кибератаки назвали попыткой сорвать бюджетный процесс и дестабилизировать ситуацию. Представители ведомства сообщили об этом на своей странице в Фейсбуке.
"Відбулася скоординована професійна хакерська атака на органи Міністерства фінансів. Це є очевидною спробою зірвати бюджетний процес, який вперше за більш ніж 17 років йде за графіком, перешкодити впровадженню важливих ініціатив Мінфіну та дестабілізувати ситуацію.
З ранку не працює сайт Міністерства і Державної казначейської служби.
Наразі атаку вдалось зупинити. Зараз проводиться оперативне відновлення систем, щоб уникнути можливих затримок з платежами. Відповідними органами розпочато роботу над пошуком зловмисників".
Примечательно, что взломы совершены накануне голосования за проект изменений в Налоговый Кодекс, которым предлагается передать базы данных от ГФС в Минфин в связи с многочисленными нареканиями на то, что налоговая не способна должным образом защитить конфиденциальную информацию налогоплательщиков. Глава ГФС Роман Насиров ранее заявлял, что выступает против передачи функции администрирования налоговых баз данных Минфину.
Эксперты прокомментировал вероятные версии произошедшего.
Геннадий Гулак, к.э.н., эксперт по IT-безопасности, заместитель главы наблюдательного совета Sl Global Service:
- Взлом сайтов стал уже обыденным происшествием, как переход улицы в неположенном месте. В данном случае сравнение вполне корректное, потому что в безопасности нет ничего постоянного. Методы и средства регулярно совершенствуются. Поскольку существует спрос на рынке «услуг нарушителей», изобретаются относительно новые методы, которые, по сути, являются комбинацией старых. Используются уязвимости, присущие практически любой системе.
Другое дело, что нормальная система должна постоянно отслеживаться, мониториться, а выявленные уязвимости - устраняться. Есть так называемая модель управления информационной безопасностью, определенная международным стандартом ISO 27001. Этот стандарт требует, чтобы администраторы динамично отслеживали состояние системы безопасности своей информационной системы и вносили соответствующие изменения по ее повышению.
А у нас на «машине ездят, пока она ездит». На «СТО» обращаются, когда что-нибудь отвалится. Для того чтобы ничего не «отваливалось», нужно периодически проводить мониторинг состояния системы и приводить ее в актуальное состояние. Даже если в некоторых случаях у нас построены комплексные системы защиты на отдельных объектах – это не означает, что крепость возведена на века. «Крепость» относительна того момента времени, когда она создавалась. На текущий момент она может требовать соответствующих изменений, доработок. Каждые два-три дня Microsoft рассылает патчи для легальных систем. Патч – это такие «кусочки исправлений» к операционной системе, которые повышают ее безопасность. Но, к сожалению, у нас отсутствует культура повышения информационной безопасности.
- Есть риск, что хакеры не только «положили» сайты, а и добрались до закрытых данных систем?
- Чаще всего, если система построена нормально, - разрушение одной ее части не приводит к нарушениям других частей. Если же сайт не выполняет требования по безопасности – это может повлечь проникновение в подсистемы, которые взаимодействуют с сайтом. Например, через сайт можно получить заражение внутренних систем вредоносным кодом.
- Кому, на Ваш взгляд, выгодны взломы сайтов Минфина и Госказначейства?
- Пока версий может быть огромное количество. Вероятно, в атаках заинтересованы российские структуры. Но почему взломали именно эти сайты – вопрос.
Может быть, это выгодно «собственным» злоумышленникам, которым было важно отвести внимание от чего-то более важного, прикрывая действия в другой сфере. Поскольку аудитория сосредоточится на новостях о взломе.
Возможно, акция направлена против конкретных лиц, отвечающих за последствия, – руководителей направлений информационных систем Минфина и казначейства.
Пока каждая из версий имеет право на жизнь.
- Может ли взлом быть выгоден ГФС накануне голосования за передачу баз данных в Минфин?
- Теоретически, акция показывающая, что у «соседа» не все в порядке, - может быть полезна ГФС. Но это очень серьезные подозрения. Если они подтвердятся – «включится» ст. 361 УК, которая квалифицирует данные действия, как незаконное вмешательство в работу информационных систем, приведшее к определенным последствиям. Деяние может караться как в административном, так и в уголовной порядке. И тут уже определенным должностным лицам, мягко говоря, не поздоровится.
- Стоит ли ожидать, что правоохранителям удастся выявить структуры, которые совершили атаки?
- Сложный вопрос. Если разбился самолет, можно ли восстановить причины катастрофы? Ответ зависит от того, нашли ли черные ящики. В нашем случае, если следы не были тщательно заметены, то «черными ящиками» являются всевозможные устройства автоматизированной системы, которые регистрировали те или иные параметры. Я не хотел бы публично рассказывать о технических подробностях. Но эти параметры остаются в системе, если их специальным образом не удалить. Наличие этих параметров позволяет криминалистам отследить, скажем, некие пути, которые могут привести, если не напрямую к злоумышленникам, то, по крайнем мере, сузить круг. Итог расследования зависит от квалификации злоумышленников и следователей. А также от массы обстоятельств, связанных с применением тех или иных программ.
Виктор Валеев, директор Ассоциации «ИТ Украины»:
- Новый Налоговый Кодекс предусматривает передачу многих функций, касающихся электронной отчетности в Министерство финансов. В этой связи, безусловно, дискредитация возможности ведения Министерством таких баз данных может быть выгодна различным заинтересованным лицам, так как вокруг этих баз уже сложилась определенная экосистема бизнес-интересов и властных полномочий.
Однако то, что целью атаки мог быть бюджетный процесс тоже исключать нельзя. Вообще этот кейс целиком в логике череды ИТ-скандалов этого года: сбоя системы приема заявлений абитуриентов, практически нефункционируеющей системе приема деклараций в Нацагенстстве по противодействию коррупции. Теперь положили сайты структуры Минфина. Возможно, таким образом пытаются досадить Александру Данилюку. В целом нынешнему Министру от предыдущего руководства Минфина досталась ИТ-инфраструктура в очень проблемном состоянии. Многие ИТ-решения писались годами и устарели морально. Я знаю, что проект по реформе ИТ функции министерства уже начат. Надеюсь, что это поможет избежать в дальнейшем таких рисков.
Андрей Гарнат, координатор «Рух Бізнесу України»:
- Представители Минфина фактически сразу заявили, что атака связана с желанием каких-то сил вмешаться и остановить работу госоргана над бюджетным процессом и помешать внедрению важных антикоррупционных инициатив. Именно это официальное заявление и наводит на определенные размышления. Министерство финансов не так давно трубило во все СМИ о том, что оно впервые за 17 лет начало и идет в точности по графику в работе с бюджетным процессом, а также готовится к внедрению своих революционных антикоррупционных инициатив. Но как мы помним, слова словами, а реальные действия Минфина говорили о том, что у Правительства нет ни малейшего желания что-либо существенно менять в сложившейся ситуации. Все серьезные изменения, которые подавались от гражданских активистов и даже от Налогового комитета, были большей частью отвергнуты или спущены на тормозах. Взять хотя бы законопроект о введении достаточно безобидного налога на выведенный капитал, который отложен на 2018 год с возможностью внести в него изменения, на усмотрение Минфина (читайте выхолостить), а ликвидация Налоговой милиции в интерпретации Минфина больше похожа на перераспределение сфер влияния и рычагов давления от ГФС к Минфину.
В Госказначействе также не все так прозрачно и радужно. Средства на уже ставших пресловутыми НДС-счетах, покрыты туманом, периодически появляется информация о том, что в их администрирование и использование идет ручное вмешательство со стороны не установленных третьих лиц. И результаты таких действий всегда идут во вред бизнесу, их туда перечисляющему. В связи с чем в Госказначействе могут быть существенные «кассовые разрывы». Учитывая все вышеперечисленное, есть предположение, что заказчик этих так называемых «хакерских нападений» сидит недалеко от самих госорганов, если не в них самих. И целью этих «атак» может быть не что иное, как легальный повод для отсрочки подготовки бюджета на 2017 год, «плановое» торможение введения заявленных «антикоррупционных законов» и отвлечение внимания граждан от тех негативных процессов и действий, которые мы наблюдаем сейчас в Правительстве.
7 декабря Кабмин выделил из резервного фонда госбюджета 80 млн гривен на восстановление и улучшение работы информационно-телекоммуникационных систем Минфина и Госказначейства.
Детали произошедшего расскажем после получения ответов на запросы из киберполиции и Госспецсвязи.