Українці мимоволі можуть стати жертвами російських хакерів. З якими кіберзагрозами стикаються в регіонах. Блог Романа Вознюка на Еспресо.Захід.
Від початку повномасштабного вторгнення Росія спрямувала вектор кібератак на державний сектор. За минулий рік урядова команда реагування на комп’ютерні надзвичайні події CERT-UA опрацювала понад 2,5 тис. кіберінцидентів – на 15,9% більше, ніж у 2022-му. Найбільше зловмисники атакують уряд та урядові організації, місцеві органи влади, сектор безпеки та оборони.
У цій колонці я хочу розказати, як через вразливості у системі кіберзахисту волинські громади ставали жертвами російських хакерів та як контроль інтернет-трафіку допомагає запобігати наслідкам кібератак.
Невидимі загрози
Російські хакери заражають комп'ютери українських держустанов шкідливим програмним забезпеченням (ШПЗ), яке викрадає дані, гроші та шпигує за кожною дією. Наприклад, одне з російських угрупувань за допомогою ШПЗ щотижня намагалось викрасти з рахунків українських підприємств понад один мільйон гривень.
Як вони це роблять? Через людей. Співробітники державних установ щодня обробляють велику кількість електронних листів, й хакери цим користуються. Одна з популярних тематик заражених листів – "Рахунки". Саме так у мережу державних установ намагається проникнути ШПЗ SmokeLoader, за яким стоять російські спецслужби.
Такий випадок стався в одній з волинських громад. На пошту загального відділу міськради прийшов "Рахунок-акт". Звідти його переслали в центральний бухгалтерський відділ – все ж таки рахунок. Там декілька разів спробували відкрити файл – не вийшло. Зробили припущення: "Можливо, Windows застарілий?". Переслали іншій колезі – раптом спрацює? І це дійсно спрацювало – на кожному комп'ютері, де намагалися відкрити "Рахунок-акт", розгорталося російське ШПЗ. За декілька годин воно зупинило роботу фінансових відділів.
Інший випадок стався в одному з ЦНАПів області. Там "зловили" ШПЗ, яке кожні декілька хвилин намагалося з'єднатися з російськими серверами. У ЦНАПі про це навіть не підозрювали – всі програми працювали у звичайному режимі. Коли ми виявили це ШПЗ, його вже неможливо було видалити, не пошкодивши ключове ПЗ на комп'ютері. Довелося перевстановлювати всі операційки з форматуванням жорстких дисків.
Люди наражаються на інтернет-загрози, тому що недостатньо про них інформовані. Та проблема комплексна – рівень кібербезпеки в державному секторі не встигає за темпами цифровізації країни. А зараз він має ще й випереджати хакерські атаки, які також трансформуються та ускладнюються. І один тільки Firewall не зможе від них захистити.
Якщо хтось сумнівається в тому, що може стати жертвою кібератаки, скажу про досвід Нововолинської міської ради. За даними MISP (Malware Information Sharing Platform) Ситуаційного центру забезпечення кібербезпеки СБУ та платформи для обміну індикаторами компрометацій MISP CERT-UA Держспецзв'язку, за 2023 рік міськраду атакували 1286 разів. Реєстри військових, інформація про об'єкти критичної інфраструктури, оборонні споруди, особисті дані громадян – це лише частина того, за чим полюють російські хакери, атакуючи органи місцевої влади.
Як на Волині побудували систему кіберзахисту
Коли почалося повномасштабне вторгнення, ми зрозуміли, що потрібно готуватися до масштабних кібератак та захистити інформацію на комп'ютерах. Частково це міг би зробити антивірус, але як захистити інтернет-трафік, аби відстежувати передачу даних?
Технічні інструменти, які були на ринку, коштували сотні тисяч гривень. Знайти рішення допоміг випадок. До Нововолинської міської ради завітав представник Cisco Володимир Ілібман і запропонував протестувати сервіс Cisco Umbrella, який слідкує за безпекою інтернет-трафіку. Щойно людина тисне на посилання, він одразу аналізує, чи це безпечний ресурс. Якщо ресурс містить ШПЗ, яке може заразити комп'ютер, Umbrella заблокує доступ до такого сайту. Також сервіс відстежує, чи здійснюються спроби передати дані на невідомі сервери. Які категорії сайтів відвідують співробітники, скільки було заблоковано чи не було підозрілої активності – всі дані можна побачити на дашборді, доступ до якого надається адміністратору.
Ми почали будувати екосистему кіберзахисту Волинської області. Першим кроком було пілотне підключення до Umbrella 15 громад, яке тривало протягом 2023 року. Цей проєкт став частиною програми Cisco Country Digital Acceleration (CDA). В межах ініціативи CDA Connected & Protected Communities ("Безпечні громади") Cisco надала безплатні річні ліцензії на продукт. Я пояснював керівникам держустанов важливість кіберзахисту, вони визначали відповідальних і поступово в нас почала формуватися спільнота адміністраторів з кібербезпеки. Потім ми долучили до роботи Держспецзв'язку і разом в перші місяці 2024 року під'єднали до Umbrella решту волинських громад. Термін дії ліцензій тим часом продовжували, наразі вони працюють до кінця лютого 2025 року.
Як моніторинг допомагає ліквідувати російські кібератаки
В Cisco Umbrella у нас є головний акаунт, до якого мають доступ представники Держспецзв'язку та лідери волинської кібергрупи. На дашборді ми бачимо активність всієї області. Та, щоб дізнатися про небезпеку, не потрібно слідкувати за ним цілодобово. Ми інтегрували Umbrella в SOC (Security Operation Center). Це система моніторингу, яка надсилає сповіщення про кіберзагрозу – повідомляє що сталося, коли та за якою ІР-адресою.
Коли ШПЗ SmokeLoader намагалося під'єднатися до російських серверів з комп'ютерів міської ради, ми одразу побачили де це відбулося та з якого пристрою. Фахівці Держспецзв'язку за три години ліквідували SmokeLoader. Для такого складного ШПЗ – це високий показник швидкості. Та оскільки російські кіберзловмисники керуються принципом "жертва один раз – жертва завжди", ми повинні й далі уважно пильнувати атаки. Хоча маємо позитивні зрушення – за 2023 рік Нововолинську міську раду атакували 1286 разів, а за перші вісім місяців 2024 року – 195. Цього липня ми виявили та попередити 37 кіберзагроз, а Umbrella відфільтрувала 7,6 млн запитів, та заблокувала 94,9 тис. небезпечних. Це 1,2% від загальної кількості, тоді як у 2022 цей показник був 35%. Тобто люди стали відвідувати менше небезпечних сайтів.
Громадам потрібно спростувати міф "ми нікому не цікаві"
З моїх спостережень, люди починають цікавитися кіберзахистом, коли розуміють, що кіберзагрози – це не абстракція, і жертвою може стати будь-хто. Під час масштабування системи кіберзахисту на Волині я запропонував одній з громад Cisco Umbrella. Мені відмовили: "Навіщо? Ми нікому не цікаві". А наступного дня до них приїхали спецслужби, бо в інформаційній системі стався витік даних про будівлі оборонного характеру.
Це не тільки загроза національній безпеці, але й репутаційні втрати. Уявіть, якщо у вас зламають ЦНАП. Хто довірить вам свої особисті дані? Переконання, що вашою громадою не зацікавляться російські кіберзлочинці – це міф. Наша робота – допомогти держустановам спростувати його.
Для кожної громади я шукаю їхню "больову точку". В одних "висне" роутер без видимої причини, в інших часто спливають сайти з неприйнятним контентом, а в когось виходять з ладу комп'ютери, бо, як потім виявляється, вони безперервно майнили криптовалюту.
Моніторинг, який веде Umbrella, є першим кроком до розв'язання проблем з кібербезпекою. Зробити його може будь-яка громада – для цього треба звернутися за безплатними ліцензіями до Cisco. Треба надіслати відповідний запит до компанії на електронну адресу
Кібератаки давно вийшли на межі екранів кінотеатрів і стали частиною нашої реальності. Не будемо допомагати ворогу в боротьбі проти нас.
Спеціально для Еспресо.Захід
Про автора: Роман Вознюк - начальник відділу ІКТ управління цифрової трансформації та комунікації Нововолинської міської ради