По 3-4 атаки держустанов на день. Як на Волині рятуються від російських кібернападів

"У нас нема чого красти. Кому ми цікаві?" – так мені відповідали у волинських держустановах, коли я пропонував їм встановити хмарну систему кіберзахисту. Втім за даними MISP (Malware Information Sharing Platform) Ситуаційного центру забезпечення кібербезпеки СБУ та платформи для обміну індикаторами компрометацій MISP CERT-UA Держспецзв'язку, за 2023 рік Нововолинську міськраду атакували 1286 разів. Це 3-4 розвідувальні атаки щодня.

Кожна громада, яка має ЦНАП, є потенційною ціллю для Росії, адже там зберігають персональні дані українців, паролі входу в державні реєстри тощо.

Минулого року мені зателефонували з однієї з громад Волинської області зі скаргою на те, що роутер постійно виходить з ладу. Пристрій зависав, перегрівався, а інтернет зникав кожні дві години. Купили новий роутер – та він зламався, як і попередній.

Проблема була в тому, що на комп'ютерах міськради працювало шкідливе програмне забезпечення (ШПЗ) – воно щохвилини робило сотні запитів на сторонні сервери. Як там опинилося ШПЗ? СБУ і Держспецзв'язку констатують, що найчастіше кібератаки здійснюють через електронну пошту. Хакери надсилають листи, які легко сплутати з рутинною розсилкою. Наприклад, в темі листа зазначають "Рахунок-фактура", а вкладений файл називають "рахунок_вiд_12_07_2023_до_оплати".

Саме так одну з волинських громад уразило ШПЗ SmokeLoader, за яким стоять російські спецслужби. На офіційну адресу прийшли бухгалтерські акти, у фінансовому відділі спробували їх завантажити – документ не відкрився. Але насправді в цей момент у мережі вже почав розгортатися SmokeLoader. Щохвилини він робив близько 10 тис. запитів на російські сервери. За декілька годин SmokeLoader повністю зупинив роботу двох відділів і управління.

З часів вірусу Petya алгоритми російського ШПЗ значно ускладнились. Воно місяцями може працювати непомітно. Та водночас кожну секунду на російські сервери надходитиме інформація про фінансові операції громади, паролі, сертифікати безпеки. Хакери не вкрадуть ваші фотографії з відпустки – вони полюють на інформацію державного значення.

Навіть, якщо ми всім встановимо антивірус, співробітники так само, нічого не підозрюючи, заходитимуть на потенційно небезпечні ресурси. Жоден фахівець не зможе "вручну" контролювати, які сайти відвідують користувачі.

Після встановлення хмарного сервісу Cisco Umbrella, який захищає вхідний і вихідний інтернет-трафік, система відфільтрувала близько 1 млн DNS-запитів та 35% з них визнала небезпечними. Тобто щойно з комп'ютера здійснюється запит в мережу, сервіс оцінює ризики. Безпечні дані – пропускає, а шкідливі – блокує для подальшого аналізу.

Протягом 2023 року ми під'єднали до сервісу більш як 1,5 тис. робочих комп'ютерів, а у 2024-му він вже працював в усіх громадах. Та справжній прорив у підсиленні кібербезпеки стався, коли до співпраці долучилися фахівці Держспецзв'язку – вони розслідують інциденти відповідно до їх критичності. Якщо спрацювало блокування двох-трьох сайтів за добу – це не є пріоритетним індикатором. Але якщо система робить сотні чи тисячі блокувань – обов'язково проводиться розслідування.

Змінилася й поведінка людей в інтернеті – кількість шкідливих запитів значно знизилася. У першій п'ятірці за частотою блокувань: анонімайзери, які використовують, щоб відвідувати заборонені сайти, ШПЗ, криптомайнинг та російські ресурси.