Хакеры атаковали сайты популярных украинских банков и всех госорганов. Не работали также мобильные приложения Приват24 и Ощад24/7. Forbes объясняет, что произошло и какими были последствия
Amazon інвестує мільярди доларів у ШІ, роботів та машинне навчання. Якими принципами й правилами керується компанія?
Дізнайтеся вже 22 листопада на Forbes Tech 2024. Купуйте квиток за посиланням!
Что произошло?
Вечером 15 января хакеры атаковали monobank, Альфа-Банк, Райффайзен Банк, ПриватБанк, Ощадбанк. Электронный банкинг последних двух – Приват24 и Ощад24/7 – перестал работать.
Хакеры также атаковали «Дію», сайт Украинского радио и сайты с доменом gov.ua. На gov.ua зарегистрированы все органы власти – всего 4700. Не пострадал только сайт Национального банка.
Атаки на государственные сайты длились пять часов. Чтобы системы работали, несмотря на массированную атаку, компания «Хостмастер» подключала резервные серверы.
Но теперь все ОК?
Да, все сайты банков и их приложения работают нормально. Сайт и приложение Ощадбанка восстанавливались дольше других – они не работали до 15:00 16 февраля, несмотря на заверения пресс-службы и НБУ, что все нормально.
ПриватБанк, monobank, Альфа-Банк и Райффайзен Банк выдержали кибератаку, которая длилась всего несколько часов. А ПУМБ Рината Ахметова не атаковали вообще.
Пользователи некоторых банков получали СМС, в которых сообщалось, что не работают банкоматы. Но это фейковые сообщения, говорит пресс-служба Киберполиции.
Деньги и данные в безопасности?
Данные и средства вкладчиков никуда не исчезли, а работа банковской системы стабильна, говорит директор департамента безопасности НБУ Игорь Коновалов. Хакеры использовали только DDoS-атаки.
Что такое DDoS-атаки?
DDS (Distributed Denial of Service) переводится дословно как «отказ в обслуживании». Хакеры посылают на сервер большое количество запросов от ботов. Их становится так много, что сервер не успевает обработать все и может перестать работать. Например, серверы Альфа-Банка получили в 200 раз больше запросов, чем обычно, – хакеры маскировали ботов под реальных пользователей.
На «Дію» было отправлено сразу 600 000 пакетов запросов в секунду, написал министр цифровой трансформации Михаил Федоров.
DDoS-атаки – самый популярный вид кибератак, которым останавливают сайты. Но таким способом можно лишь на время заблокировать работу – украсть данные или средства невозможно.
Хакеры останавливают системы, чтобы потребовать выкуп или отвлечь внимание. «DDos может длиться один-три часа, а если хорошо проплачена, может продолжаться и месяц», – говорит независимая консультантка по цифровой безопасности Анастасия Апетик.
Хорошо проплаченная? Сколько такая атака может стоить?
Точную стоимость атаки посчитать сложно – РНБО не называет количество ресурсов, которые DDoSили. Публично про атаку заявили 18 сайтов госорганов и шесть банков. Пострадавших ресурсов может быть больше, потому что частные стратегические компании могли не заявить про атаки, рассказала Forbes пресс-служба РНБО.
Если от хакеров пострадало 100 ресурсов, стоимость кибератаки будет $110 000, говорит специалист с кибербезопасности Влад Стиран. Он считал так: 4 часа DDoS атаки со скоростью 15 Gbps, по данным издания threatpost, стоит $55. Можно умножить это на количество ресурсов и на два – украинская кибератака длилася 8 часов. Ее скорость была 150 Гбит/с – множим результат на 10 и получим сумму.
Федоров рассказал на брифинге, что атака стоила миллионы долларов, но Стыран ему не верит. В его словах сомневается и эксперт с кибербезпасности Константин Корсун. «Какие еще «миллионы долларов»? Какие еще «долго готовились»? Дали команду существующему ботнету – это пару секунд «подготовки», – написал он в фейсбуке
Точное число скажут после расследования, говорит Апетик. «Но если Федоров говорит, что стоило миллионы – значит, стоило миллионы. Его эксперты дали ему проверенную информацию», – объясняет она.
И кто мог заплатить за эту атаку?
Неизвестно. Атаки на monobank, А-Банк и Альфа приходили с сервера в Нидерландах, по словам Олега Гороховского, одного из владельцев monobank. «Дію» сначала атаковали из России и Китая, а после того, как Минцифра отразила удар, – из Чехии и Узбекистана, написал Федоров.
Но DDoS можно сделать и через VPN – сервис, скрывающий страну происхождения атаки. «Если атакуют из Нидерландов, Узбекистана, Чехии, то это сидящие под VPN люди. Эти страны не собираются нас валить», – говорит Апетик. По ее мнению, заказывать подобные атаки сейчас может только Россия.
О российском следе заявляют и украинские чиновники. «Единственная страна, которая заинтересована в таких имиджевых ударах по государству, – Российская Федерация», – говорит начальник департамента кибербезопасности СБУ Илья Витюк.
Зачем России DDos-атаковать украинские банки и сайты?
Это репутационная угроза для государства, говорит Апетик. Кибератаки на государственные сайты, например, проходят не впервые – предыдущие были 14 января. Тогда не работали сайты Минобороны, МИД, ГСЧС, «Дії» и другие. СБУ, Госспецсвязь и Киберполиция подозревают, что хакеры связаны со спецслужбами РФ.
«Раньше хакеры хотели вывести из строя критическую инфраструктуру или получить информацию для разведки, сейчас они ломают системы для дестабилизации», – рассказала руководитель информационной безопасности и кибербезопасности СНБО Наталья Ткачук.
Что-то нужно делать с этим?
США помогут Украине расследовать последнюю кибератаку, пишет Reuters. Украинская киберполиция возбудила уголовное дело. Минцифры планирует провести обучение с тестовым взломом сайтов в Украине, чтобы подготовиться к следующим атакам.
Если частные компании не могут справиться с кибератаками сами, им нужно обратиться в CERT-UA, государственный орган, который борется с кибератаками. Они могут предоставить компании дополнительные серверы, рассказал на брифинге 16 февраля заместитель главы Госспецсвязи Виктор Жора.
Это обновленная версия материала: раздел про возможную стоимость атаки был дополнен комментарием от СНБО и комментариями киберэкспертов. Forbes опубликовал оригинальную версию 16 февраля в 19:47.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.