=
Кому выгодны кибератаки на сайты Минфина и Госказначейства
6 декабря хакеры взломали сайты Государственной казначейской службы и Министерства финансов.
Доступ к ресурсам пока не восстановлен.
На взломанном сайте Госказначейства хакеры оставили "послание":
"Привет, друг. А вот и мы, снова. Битва началась, но война далека от окончания. Силы остаются неконтролируемыми. Карты остаются спутанными. Даже после всего того, что случилось, кто контролирует ситуацию? Ты не прекратишь быть марионеткой, если ты никогда не видел веревок. Ты хотел спасти мир. Ты правда думал, что это будет так просто? Мы зажигаем фитиль революции. Сейчас мы решаем, оно пошипит и остынет, или в самом деле воспламенится. Наша настоящая работа только начинается".
Тем временем на странице Минфина в Фейсбуке начали появляться жалобы налогоплательщиков.
Представители Минфина пока на них не реагируют.
Судя по заявлению этого ведомства, уже открыто уголовное производство по фактам взлома. В киберполиции пока не уточняют детали. Также еще не ответили на вопрос издания, какие превентивные меры предпринимаются для недопущения дальнейших вылазок этих "революционеров".
Руководитель частной киберлаборатории, которая подключена к расследованию и занимается анализом технической составляющей, сообщил, что о деталях сможет рассказать не ранее, чем в конце недели. Пока же пояснил, что это нестандартные атаки: "Отдельный случай с определенными целями".
Действительно, самое интересное - цели заказчиков атаки. В СМИ начали появляться версии, что сайты взломали российские хакеры. Якобы так они поздравили нас с Днем украинской армии. Но остается открытым вопрос: почему же тогда хакеры вывели в офлайн сайты финучреждений, а не Минобороны.
В Минфине кибератаки назвали попыткой сорвать бюджетный процесс и дестабилизировать ситуацию. Представители ведомства сообщили об этом на своей странице в Фейсбуке.
"Відбулася скоординована професійна хакерська атака на органи Міністерства фінансів. Це є очевидною спробою зірвати бюджетний процес, який вперше за більш ніж 17 років йде за графіком, перешкодити впровадженню важливих ініціатив Мінфіну та дестабілізувати ситуацію.
З ранку не працює сайт Міністерства і Державної казначейської служби.
Наразі атаку вдалось зупинити. Зараз проводиться оперативне відновлення систем, щоб уникнути можливих затримок з платежами. Відповідними органами розпочато роботу над пошуком зловмисників".
Примечательно, что взломы совершены накануне голосования за проект изменений в Налоговый Кодекс, которым предлагается передать базы данных от ГФС в Минфин в связи с многочисленными нареканиями на то, что налоговая не способна должным образом защитить конфиденциальную информацию налогоплательщиков. Глава ГФС Роман Насиров ранее заявлял, что выступает против передачи функции администрирования налоговых баз данных Минфину.
Геннадий Гулак, к.э.н., эксперт по IT-безопасности, заместитель главы наблюдательного совета Sl Global Service прокомментировал вероятные версии произошедшего:
- Взлом сайтов стал уже обыденным происшествием, как переход улицы в неположенном месте. В данном случае сравнение вполне корректное, потому что в безопасности нет ничего постоянного. Методы и средства регулярно совершенствуются. Поскольку существует спрос на рынке «услуг нарушителей», изобретаются относительно новые методы, которые, по сути, являются комбинацией старых. Используются уязвимости, присущие практически любой системе.
Другое дело, что нормальная система должна постоянно отслеживаться, мониториться, а выявленные уязвимости - устраняться. Есть так называемая модель управления информационной безопасностью, определенная международным стандартом ISO 27001. Этот стандарт требует, чтобы администраторы динамично отслеживали состояние системы безопасности своей информационной системы и вносили соответствующие изменения по ее повышению.
А у нас на «машине ездят, пока она ездит». На «СТО» обращаются, когда что-нибудь отвалится. Для того чтобы ничего не «отваливалось», нужно периодически проводить мониторинг состояния системы и приводить ее в актуальное состояние. Даже если в некоторых случаях у нас построены комплексные системы защиты на отдельных объектах – это не означает, что крепость возведена на века. «Крепость» относительна того момента времени, когда она создавалась. На текущий момент она может требовать соответствующих изменений, доработок. Каждые два-три дня Microsoft рассылает патчи для легальных систем. Патч – это такие «кусочки исправлений» к операционной системе, которые повышают ее безопасность. Но, к сожалению, у нас отсутствует культура повышения информационной безопасности.
- Есть риск, что хакеры не только «положили» сайты, а и добрались до закрытых данных систем?
- Чаще всего, если система построена нормально, - разрушение одной ее части не приводит к нарушениям других частей. Если же сайт не выполняет требования по безопасности – это может повлечь проникновение в подсистемы, которые взаимодействуют с сайтом. Например, через сайт можно получить заражение внутренних систем вредоносным кодом.
- Кому, на Ваш взгляд, выгодны взломы сайтов Минфина и Госказначейства?
- Пока версий может быть огромное количество. Вероятно, в атаках заинтересованы российские структуры. Но почему взломали именно эти сайты – вопрос.
Может быть, это выгодно «собственным» злоумышленникам, которым было важно отвести внимание от чего-то более важного, прикрывая действия в другой сфере. Поскольку аудитория сосредоточится на новостях о взломе.
Возможно, акция направлена против конкретных лиц, отвечающих за последствия, – руководителей направлений информационных систем Минфина и казначейства.
Пока каждая из версий имеет право на жизнь.
- Может ли взлом быть выгоден ГФС накануне голосования за передачу баз данных в Минфин?
- Теоретически, акция показывающая, что у «соседа» не все в порядке, - может быть полезна ГФС. Но это очень серьезные подозрения. Если они подтвердятся – «включится» ст. 361 УК, которая квалифицирует данные действия, как незаконное вмешательство в работу информационных систем, приведшее к определенным последствиям. Деяние может караться как в административном, так и в уголовной порядке. И тут уже определенным должностным лицам, мягко говоря, не поздоровится.
- Стоит ли ожидать, что правоохранителям удастся выявить структуры, которые совершили атаки?
- Сложный вопрос. Если разбился самолет, можно ли восстановить причины катастрофы? Ответ зависит от того, нашли ли черные ящики. В нашем случае, если следы не были тщательно заметены, то «черными ящиками» являются всевозможные устройства автоматизированной системы, которые регистрировали те или иные параметры. Я не хотел бы публично рассказывать о технических подробностях. Но эти параметры остаются в системе, если их специальным образом не удалить. Наличие этих параметров позволяет криминалистам отследить, скажем, некие пути, которые могут привести, если не напрямую к злоумышленникам, то, по крайнем мере, сузить круг. Итог расследования зависит от квалификации злоумышленников и следователей. А также от массы обстоятельств, связанных с применением тех или иных программ.
Детали произошедшего расскажем после получения ответов на запросы из киберполиции и Госспецсвязи.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Облом. Но значёк "за дальний поход" я всё же прицепил на дембельскую форму. 
