Вечером 19 декабря российские хакеры совершили масштабную кибератаку на государственные реестры Украины. Под атакой оказались ресурсы Министерства юстиции Украины.
В результате кибератаки была приостановлена работа ряда госреестров, а также некоторые услуги в приложении Дія.
По словам хакеров, им якобы удалось похитить данных на 1 млрд строк, в частности, удалить ее как с украинских серверов, так и резервные копии в Польше.
О том, какие это последствия будет иметь для украинцев, как это ставит под угрозу безопасность страны и когда восстановится работа сервисов — Факты ICTV разбирались вместе с экспертом по кибербезопасности.
- Кибератака на госреестры Минюста: что произошло
- Что говорит Минюст и другие службы об утечке данных во время массированной кибератаки
- Когда возобновят работу реестры
- Массированная кибератака на реестры Минюста: что говорят киберспециалисты
Кибератака на государственные реестры Минюста: что произошло
После хакерской атаки на реестры Минюста под угрозой оказались Реестр юридических лиц и ФЛП, судебных решений, физлиц и другие.
Так как приложение Дія тесно связано с государственными реестрами, в нем перестали работать ряд сервисов, в частности услуги ФЛП и ООО, перерегистрация авто, бронирование работников, єВідновлення, выписки из ЕГР, актовые записи, сообщения о поврежденном/уничтоженном имуществе.
Министр юстиции Ольга Стефанишина в своем заявлении назвала это киберпреступление самой масштабной внешней кибератакой на государственные реестры Украины за последнее время.
Ответственность за кибернападение взяла группировка XakNet Team. Это российская группировка, которая, как сама себя позиционирует, осуществляет хакерские атаки на волонтерских началах. Они же брали на себя ответственность во время кибератаки на канал Украина 24 в марте 2022 года, где в эфире появилось фейковое видео с якобы президентом Владимиром Зеленским, который говорил о том, что кажется россиянам.
В своем Telegram-канале хакеры написали, что атака осуществлялась на ГП Национальные информационные системы (НАИС). Именно НАИС является оператором данных из реестров. Благодаря этой атаке на НАИС хакерам удалось, по крайней мере по их заявлению, выйти на “инфраструктуру со всеми данными Министерства юстиции Украины”, сообщали в XakNet Team.
Как пишут российские хакеры, им якобы удалось получить данные на 1 млрд строк, а также удалить их с ресурсов Минюста, а также резервную копию этих данных, которая хранилась на серверах в Польше.
В ГП НАИС сначала писали о плановых технических работах с 22:00 до 24:00 19 декабря, впрочем уже ближе к полуночи с коммуникацией вышла руководительница Минюста Ольга Стефанишина, которая заявила о кибератаке на государственные реестры.
По состоянию на вечер 20 декабря сайты НАИС, Минюста и Единых и Государственных реестров (ЕГР) не работают.
Как заявила Ольга Стефанишина, кибератака россиян осуществлялась с целью нарушить работу критически важной инфраструктуры.
Министр также заявила, что за кибератакой на государственные реестры стоят российские спецслужбы.
— В частности, группировка, связанная с ГРУ, — сказала она.
Стефанишина добавила, что это была массированная атака на всю инфраструктуру, которая готовилась в течение месяцев.
Впоследствии руководитель Департамента кибербезопасности СБУ Владимир Карастелев заявил, что главной версией, которую рассматривает Служба безопасности, является причастность российских спецслужб к совершенной атаке, в частности ГРУ ГШ РФ.
Что говорит Минюст и другие службы об утечке данных во время массированной кибератаки
Во время брифинга со Стефанишиной руководитель Карастелев заявил, что сейчас проводятся проверки относительно возможной утечки данных из реестров.
— Опровергать, что утечка данных произошла, я не могу, сейчас ведется соответствующее киберисследование. И после получения данных мы предоставим всю надлежащую информацию, — заявил он.
Министр юстиции Ольга Стефанишина во время пресс-конференции добавила, что председатель Государственной службы специальной связи и защиты информации говорил ей, что пока утечка данных не подтверждается.
В Минюсте в свою очередь заявляют, что им “пока неизвестно, удалось ли хакерами скачать базу”.
Глава Государственной службы специальной связи и защиты информации Украины Александр Потий в своей заметке заявил, что атака хакеров из РФ на информационные системы Министерства юстиции Украины “четко продемонстрировала нам, что киберпространство является такой же полноценной ареной боевых действий, как и другие домены”.
Впрочем, Потий не стал комментировать информацию о том, были ли получены россиянами данные из реестров.
Когда возобновят работу реестры
Стефанишина уверяет, что реестры будут восстановлены, впрочем пока их работа приостановлена.
— На данном этапе приостановлена работа всех реестров в целях безопасности — сохранение информации и избежание дальнейших провокаций. В первую очередь будут восстанавливаться реестры, которые обеспечивают учет действий нотариусов. Первоочередным для нас является восстановление реестра прав на недвижимое имущество и реестра юридических, физических лиц, — отметила она.
Вице-премьер заявила, что у Минюста “есть бэкапы всех данных из всех государственных реестров”, а серверы ведомства “размещены в не одной локации”.
— Время первоочередного восстановления составит ориентировочно до двух недель, — написала Стефанишина в своем первом комментарии по кибератаке.
Уже во время брифинга, Стефанишина уточнила информацию. По ее данным, прежде всего Минюст возобновит работу:
- Единого реестра доверенностей,
- Единого реестра специальных бланков нотариальных документов
- и Наследственного реестра.
Это позволит обеспечить “надлежащий учет данных и минимизировать негативное влияние вследствие потенциальных неправомерных нотариальных действий”.
— В дальнейшем в приоритете восстановления – Государственный реестр актов гражданского состояния граждан, Единый государственный реестр юридических лиц и физических лиц-предпринимателей, Государственный реестр прав на недвижимое имущество и их обременений, — сообщила Стефанишина.
Массированная кибератака на реестры Минюста: что говорят киберспециалисты
В комментарии Фактам ICTV эксперт по кибербезопасности Константин Корсун говорит, что “катастрофические последствия” от кибератаки “вряд ли будут”.
В то же время эксперт убежден, что, несмотря на заявления Минюста и Госспецсвязи, россияне все же смогли получить доступ к данным реестров министерства и выгрузить их.
— Если хакеры уже проникли внутрь защищенного периметра государственных реестров Минюста, то они могли взять все, что захотели. Очень странно, когда вы, например, приходите, ваша квартира разгромлена, там были какие-то воры внутри. Вот что в такой ситуации им мешало взять все, что им заблагорассудится?
Если они уже обошли защиту и преодолели все системы безопасности, а сам ты имеешь права, позволяющие тебе уничтожать инфраструктуру, удалять виртуальные машины, то соответственно у тебя есть доступ ко всему. Если ты можешь удалять, то ты можешь и просто скопировать и вынести данные, информацию, — говорит Корсун.
Вопросом остается то, сколько именно данных россияне смогли вынести незамеченными, поскольку в случае, если речь идет о больших объемах данных и начинает что-то загружаться интенсивно, тогда резко возрастает трафик и это привлекает внимание в системы безопасности, говорит эксперт по кибербезопасности, поэтому много россияне забрать вряд ли смогли.
— Я думаю, что если у россиян было достаточно времени для того, чтобы посмотреть, собрать это все самое вкусное, самое ценное, то здесь и вопрос в том, как долго они находились в системе до того, как решили все там разрушить. Этого также пока неизвестно, — говорит Корсун.
Константин Корсун также соглашается с оценкой Стефанишиной, что такие массированные кибератаки готовятся не за один вечер, а работа над ними длится месяцами.
— Поэтому у меня нет сомнений, что они что-то забрали. Это было бы абсолютно наивно считать, что кто-то залез в твою квартиру и ничего не взял, если смотреть на это с точки зрения преступника, — говорит эксперт.
На вопрос, как именно могут использованы данные украинцев, учитывая российско-украинскую войну, Корсун говорит, что здесь есть несколько вариантов.
— Эти данные могут быть использованы в мошеннических каких-то схемах против Украины, потому что российские колл-центры активно работают против украинцев. А могут быть проданы на тех же подпольных площадках просто хакерам, преступникам, любому, кто будет их использовать для мошенничества, для социальной инженерии против украинцев, — говорит эксперт.
В случае, если эта хакерская группировка тесно сотрудничает с российскими спецслужбами, то, с большой долей вероятности, РФ будет использовать полученную информацию для своих шпионских операций, для выявления военнослужащих, членов их семей и, соответственно, может устраивать шантаж, запугивание или заниматься тем же мошенничеством.
— То есть это немного больше возможностей к тем, которые они уже имеют. Потому что наши базы данных неоднократно разные вытекали и по имущественным правам, — говорит эксперт.
Константин Корсун вспоминает, что когда произошла массированная кибератака и взлом Дії в январе 2022 года, тогда российские спецслужбы выложили часть полученных данных в сеть, чтобы продемонстрировать, что они действительно получили доступ к этой информации. Такой сценарий возможен и на этот раз, считает эксперт.
— Я думаю, что даже в ближайшие дни мы их увидим, потому что россияне любят это делать как доказательство своей якобы могущества, что они “могут все”, якобы что угодно взломать и велика вероятность того, что они или выставят на продажу, или на бесплатный доступ, — говорит эксперт.
Впрочем, добавляет Корсун, вряд ли россияне узнали что-то принципиально новое из этих данных, но это станет дополнительными инструментами для российской OSINT деятельности, планирования шпионских операций, диверсий и тому подобное.
— Ничего в этом плане экстраординарного не произошло. Они дополнили данные к своей разведке таким образом. Возможно, обновят какие-то свои данные, потому что они постоянно осуществляют этот непрерывный процесс обновления. Если вы хакнули базу данных каких-то, то данные имеют свойство устаревать. Через год это будет уже на треть неактуальная информация, поскольку, например, люди меняют фамилии, адреса проживания, семейное положение, имущественное положение и тому подобное. Все постоянно меняется в динамике, — объясняет эксперт.
По мнению Константина Корсуна, россияне, вероятно, могли задолго до сообщения Минюста о кибератаке получить немало данных, а затем “устроить фейерверк”.
— Они, видимо, все сделали, взяли все, что им было нужно, а потом решили фейерверк устроить, хлопнуть дверью со всей силы, чтобы аж стены зашатались. Это такой вау-эффект, чтобы еще дополнительный импульс, влияние на общество украинское, — считает он.
В то же время эксперт не считает, что эти сливы баз данных могут каким-то образом быть связаны с потенциальными обстрелами Украины.
— Какие-то детали, какие-то данные разведки, доразведки осуществляются, о каких-то людях, о каких-то предприятиях, о каких-то адресах, возможно, все россияне для себя дополнительно уточняют. Но прямой связи с обстрелами напрямую я не вижу, с учетом еще низкой точности их оружия, — говорит эксперт.
Корсун напоминает, что если говорить об обстрелах, в частности, ударах РФ по критической инфраструктуре, то россияне часто целятся в одно место, а попадают в другое, поэтому доступ к данным вряд ли сможет изменить ситуацию.