Министерство финансов и Госказначейство пережили масштабную хакерскую атаку, в результате которой вся финансовая система страны в течение двух дней была заблокирована.
Об этом сообщает РБК-Украина.
В это период бизнес не мог платить налоги, а органы казначейства имели проблемы с выполнением платежей.
Речь идет о 150 тыс. транзакций в сутки.
Вчера работа финсектора была восстановлена, а правительство выделило 80 млн грн из резервного фонда для замены IT-оборудования финансовых ведомств, работающего еще с прошлого века.
В Минфине кибератаку связывают с попыткой сорвать бюджетный процесс и антикоррупционные реформы.
В правоохранительных органах сообщили, что преступники использовали аналог вируса BlackЕnergy, которым год назад были заражены сети «Прикарпаттяоблэнерго» и международного аэропорта «Борисполь».
Система госуправления финансами «легла» утром 6 декабря. В тот же день проблемой занялись сотрудники СБУ, киберполиция и представители Госслужбы спецсвязи.
К вечеру 8 декабря система была восстановлена на 90%. Однако так и не была найдена основная причина — «дыра», через которую прошли хакеры.
«На местах все восстановлено и работает в штатном режиме. Условно, в „ручном“ режиме все платежи, транзакции видны, в автоматическом — пока нет, — рассказывает источник РБК-Украина в МВД. — В киберпространстве, как и в реальности, всегда остаются следы, поэтому рано или поздно это выведет нас на того, кто это сделал, а впоследствии и на заказчика».
Что касается версий относительно того, кто может стоять за кибератакой, то следует напомнить историю с «Прикарпаттяоблэнерго». Вот как ее описывает ситуацию на облэнерго в репортаже журнала Wired журналист Ким Зеттер:
«В среду 23 декабря 2015 года в 15:30 жители Ивано-Франковска готовились к окончанию рабочего дня и собирались идти домой. В центре управления предприятия „Прикарпатьеоблэнерго“, которое распределяет электроэнергию в регионе, диспетчеры практически закончили смену. Но когда один из них приводил в порядок бумаги на столе перед завершением работы, курсор на экране компьютера сдвинулся c места. Диспетчер видел, как курсор целенаправленно двинулся к кнопкам управления автоматическими выключателями на региональной подстанции, затем нажал кнопку для вызова окна с выключателями, чтобы вывести подстанцию в офлайн. На экране возникло диалоговое окно с требованием подтвердить операцию, а оператор ошарашенно смотрел, как курсор скользнул в это окно и нажал кнопку подтверждения. Он знал, что где-то в районе за городом тысячи домов только что лишились света».
К расследованию этой атаки были привлечены не только украинские правоохранительные органы, но и ФБР, ЦРУ и Агентство Нацбезопасности США. Следствие установило, что атака на облэнерго (ее последствия специалисты устраняли до марта 2016 года) началась более чем за полгода с фишинговой кампании, направленной на IT-персонал.
На их адреса приходили письма с документом Word в аттаче. При запуске документа появлялось окно с просьбой включить выполнение макросов. Если пользователь делал это, то на компьютер устанавливалась программа под названием BlackEnergy с возможностью удаленного доступа к компьютеру. Украина сразу же обвинила в атаке российские спецслужбы.
«Служба безопасности Украины пресекла попытку российских спецслужб поразить компьютерные сети объектов энергетического комплекса Украины. Сотрудники СБУ обнаружили вредоносное программное обеспечение в сетях отдельных областных энергетических предприятий. Вирусная атака сопровождалась непрерывными звонками (телефонным „флудом“) на номера техподдержки облэнерго», — говорилось в сообщении СБУ от 28 декабря 2015 года.
По окончательно неподтвержденной информации, атаку на облэнерго провела группа «Песчаный червь» (Sandworm, она же Quedagh). Именно их сеть использовалась для атаки на государственные и коммерческие организации не только в Украине, но и в Польше.
По словам экспертов, команда «Песчаный червь» — одна из наиболее технически продвинутых хакерских групп мира. На Западе ее считают постоянной угрозой, имеющей господдержку и используемой в политических целях Российской Федерацией. Действительно ли за атакой на Минфин стоит Sandworm, еще предстоит узнать следствию.