
Хакеры похитили данные Парламента Румынии, требуя выкуп. Подобные ransomware-атаки совершаются как преступниками, так и государственными субъектами.
Кибератаки на государственные учреждения Румынии. Хакеры похищают личные данные премьер-министра
Начало прошлой недели ознаменовалось «киберинцидентом» в румынском Парламенте, где, согласно официальным заявлениям, из базы данных Палаты депутатов было скачано около 300 Мб цифровой информации. Серьезность этого события, хотя и преуменьшаемая властями, побудила исполнительную власть внести экстренную поправку в закон о кибербезопасности. Одна из причин такой реакции заключается в том, что, согласно нескольким источникам, «инцидент» на самом деле был атакой ransomware, причем хакеры требовали в качестве выкупа 0,8 биткоина, или около 40 000 евро. Хотя ему было уделено меньше внимания, то через день после атаки на базу данных Палаты депутатов произошел второй инцидент, направленный именно против учреждения, расследующего нарушение безопасности в Парламенте, а именно против Национального управления кибербезопасности. Веб-сайт DNSC подвергся ночной атаке, но ее последствия оказались нулевыми: по данным властей, хакерам не удалось скачать какие-либо файлы или вывести сайт из строя.
Это событие привлекло внимание общественности к феномену кибератак на государственные учреждения, которых, по данным Министерства цифровых технологий Румынии, насчитывается 200 в день по всей стране. В целом, по данным того же источника, Румыния ежедневно сталкивается с 25 000 - 50 000 кибератак. В мире în ежедневно происходит почти два миллиона кибератак, около 70 % из которых - это атаки ransomware. Они включают в себя как атаки на персональные компьютеры, так и взлом сетей крупных компаний и даже государственных учреждений, парализуя и ставя под угрозу работу и функционирование целых регионов и даже стран в целом. Обычно за этими атаками стоят финансовые интересы, но политические кризисы и вооруженные конфликты последних лет вывели «на арену» и государственные интересы, причем атаки не обязательно направлены на получение денег, а скорее на блокирование и саботаж деятельности противника под видом обычного преступления.
От вирусов, спрятанных на дискетах, до глобальных онлайн-атак: 35 лет эволюции ransomware
История ransomware начинается во второй половине 1989 года, когда 20 000 человек по всему миру получили по почте компьютерную дискету, содержащую, согласно этикетке, опросник, с помощью которого можно было определить вероятность заражения ВИЧ. Поскольку за несколько недель до этого адресаты присутствовали на конференции Всемирной организации здравоохранения по СПИДу, никто ничего не заподозрил, тем более что компьютерные вирусы в то время были практически неизвестны широкой публике. Через несколько дней жертвы обнаружили, что больше не могут зайти на свои компьютеры, а на экранах их мониторов появилось сообщение с просьбой отправить конверт со 189 долларами в почтовый ящик в Панаме, если они хотят изменить свое положение. Скрытый в файле анкеты вирус, позже получивший название AIDS Trojan, привел к созданию первого в мире коммерческого антивируса. В конце концов следователи вычислили отправителя дискет - Джозефа Поппа, известного биолога с гарвардским образованием, который в то время проводил исследования СПИДа и возможных методов лечения этой болезни. Он оправдал свои действия, заявив властям, что планирует пожертвовать деньги, полученные в качестве выкупа, на исследования СПИДа. Если бы его не поймали, Попп, вероятно, все равно не заработал бы на этой афере, если учесть только расходы на покупку и доставку 20 000 дискет по всему миру. Но его идея со временем превратилась в миллиардную индустрию и принесла ему неофициальный титул «отца ransomware».
Несмотря на шок, вызванный инициативой Поппа, до следующей атаки ransomware прошло 15 лет, поскольку получателя выкупа было довольно легко отследить. С появлением цифровых денег, а затем и криптовалют, которые повысили анонимность злоумышленников, а также упростили финансовые операции, эта практика вновь возникла в начале 2000-х годов, когда интернет стал более распространенным и использовался на бытовом уровне. Двумя наиболее заметными атаками ransomware в начале эпохи интернета стали GPCode в 2004 году и Archievus в 2006-м. Революционные для своего времени, обе они считаются рудиментарными по сегодняшним меркам. Их создатели делали ставку на количество, а не на качество, атакуя сразу несколько целей и требуя низкий выкуп - всего 20 долларов. К счастью для жертв, их действие можно было легко отменить, а эффективность была довольно низкой.
Но в 2010-х годах произошел всплеск атак ransomware, масштаб которых привел к созданию «индустрии киберзащиты», стоимость которой в настоящее время составляет 8 тысяч миллиардов долларов в год, а к 2028 году, по оценкам, достигнет 14 тысяч миллиардов долларов в год. Кроме того, это явление привело к появлению нового вида бизнеса - Ransomware as a Service (RaaS). Этот сервис дает возможность даже тем, кто обладает ограниченными техническими навыками, проводить атаки с использованием ransomware, как правило, на частных лиц. Бизнес-модель очень проста: создатель программного обеспечения предоставляет его клиентам, которые используют его для блокировки доступа людей к личным данным. Затем они платят разработчику ПО либо фиксированную сумму, либо процент от денег, полученных от жертвы. Такая модель позволяет создателю вредоносного ПО увеличить свои доходы, но в то же время дает ему преимущество не быть непосредственно вовлеченным в преступление, принимая на себя гораздо меньший риск, чем если бы он сам организовывал атаки.
Атаки Ransomware исторически были направлены на широкий круг целей, от обычных людей до компаний из различных отраслей, как, например, знаменитая атака 2021 года против компании Ultimate Kronos Group, компанию по разработке программного обеспечения для управления трудовыми ресурсами с филиалами в более чем 100 странах. Атака затронула клиентов по всему миру, вызвав многолетние негативные последствия, поскольку данные о десятках тысяч сотрудников по всему миру оказались в открытом доступе, а сотни компаний столкнулись с перебоями, задержками и ошибками при выплате зарплаты сотрудникам. Представители компании не раскрыли сумму, выплаченную за восстановление контроля над ее компьютерной сетью, а виновные в атаке так и не были найдены.
Русские хакеры, киберпреступники, которых терпит Москва и ее идеологические агенты
Другая известная атака произошла в 2021 году на американскую компанию Colonial Pipeline, владельца трубопроводной системы, транспортирующей топливо из Техаса на Восточное побережье США. Атака была направлена на компьютерные системы, управляющие трубопроводами, и вызвала масштабный дефицит топлива в регионе, серьезно повлияв на повседневную жизнь людей, а также крупных потребителей топлива, таких как авиакомпании. Атака была расценена как угроза национальной безопасности, что побудило президента Джо Байдена объявить чрезвычайное положение. В ходе расследования ФБР установило, что ответственность за атаку несет хакерская группа под названием DarkSide. По имеющейся информации, эта группа - одна из многих подобных, действующих с территории России без санкции властей, которые разрешают им работать, если они атакуют только иностранные цели. Одним из аргументов в пользу этого является то, что DarkSide, например, никогда не атакует цели в России и странах, которые в свое время входили в Содружество Независимых Государств (политическая структура, которая должна была заменить СССР), а также в Сирии, одном из самых верных союзников кремлевского режима.
Годом позже, в 2022 году, хакеры из BlackCat, отколовшейся от DarkSide группы, атаковали серверы швейцарского оператора аэропортов Swissport, что, как утверждается, не имело значительных последствий, задержав лишь небольшое количество рейсов, после чего Swissport восстановила контроль над своими компьютерами. Однако группа, взявшая на себя ответственность за атаку, заявила, что она не только зашифровала файлы компании, но и похитила 1,6 ТБ данных, которые пыталась продать заинтересованным лицам.
Но, пожалуй, самой громкой атакой из России, которая парализовала целую страну на несколько месяцев, является атака группы Conti на государство Коста-Рику. Изначально атака была направлена на 27 правительственных организаций, а ущерб оценивался в сотни миллионов долларов. В результате действий хакеров правительство было вынуждено отключить несколько систем, что привело к задержке государственных платежей, замедлению и даже остановке торговли, а также ограничению ряда государственных услуг. Исполняющий обязанности президента Карлос Альварадо отказался выплатить требуемое вознаграждение в размере 10 миллионов долларов. Вторая атака, произошедшая примерно месяц спустя, была направлена на компьютерные системы Фонда социального страхования Коста-Рики (CCSS), который занимается организацией здравоохранения. Отключение компьютеров, на которых он работал, привело систему здравоохранения страны в состояние нового расстройства. Бесчисленные пациенты жаловались на задержки в получении лечения, а CCSS предупредил родителей, чьи дети проходили медицинские процедуры, что у них могут возникнуть проблемы с обнаружением своих детей. Прошли месяцы, прежде чем системы были восстановлены, но не раньше, чем вновь избранный президент страны Родриго Чавес Роблес объявил чрезвычайное положение. Тем временем атака Conti приобрела политический оттенок, когда на сайте группы появился призыв к каждому гражданину Коста-Рики выйти на акцию протеста перед штаб-квартирой правительства. В другом сообщении, адресованном Коста-Рике и «американским террористам (Байдену и его администрации)», говорилось, что «мы намерены свергнуть правительство с помощью кибератаки». Это следует рассматривать на фоне того, что в то время российские войска уже проводили «специальную военную операцию» в Украине, а хакерская группа Conti заявила о своей поддержке вторжения России в Украину еще 25 февраля 2022 года. Тогда Conti заявила о своей «полной поддержке» российского правительства и пригрозила атаковать критически важные объекты инфраструктуры, принадлежащие всем, кто осмелится начать кибератаки против России. Именно эта причина, как подозревают эксперты, привела к упадку и окончательному исчезновению группировки с кибертеррористической сцены. Через два дня после заявления о поддержке Москвой конфликта с Украиной с анонимного акаунта на платформе X было обнародовано более 100 000 файлов с информацией, распространяемой в коммуникационных группах Conti. Эксперты предположили, что автором разоблачений был украинский компьютерщик и член группы, который явно не разделял взгляды лидеров организации. Через несколько дней после атаки в Коста-Рике сайт группы был закрыт, платформа, на которой велись переговоры о выкупе, отключена, а вся остальная инфраструктура, от чатов до приложений для обмена сообщениями и серверов, подверглась масштабной перезагрузке.
Атаки ransomeware как российский инструмент гибридной войны
В последние годы атаки ransomware все чаще направлены на государственные учреждения разных стран или элементы критической инфраструктуры, оказывающие сильное влияние на повседневную жизнь. В подавляющем большинстве случаев они координируются другими странами, которые часто предоставляют финансирование, защиту и консультации хакерским группам.
Скоординированные атаки на государственном уровне начались с критически важных элементов инфраструктуры, таких как транспорт, еще в 2017 году, когда компьютерные системы судоходного гиганта A.P. Moller-Maersk были заблокированы на несколько дней, что привело к убыткам, оцениваемым в 300 миллионов долларов. Атака заблокировала доступ к системам, используемым компанией для управления судоходными терминалами по всему миру, и компании потребовалось более двух недель, чтобы восстановить контроль над своими ИТ-операциями.
Атака на Maersk стала первой в серии скоординированных атак на ИТ-инфраструктуру примерно в 60 странах, причем больше всего пострадали Франция, Германия и Украина. Последняя в том году стала объектом масштабных киберопераций, затронувших национальные компьютерные системы и сети частных фирм, таких как банки, СМИ и энергоснабжающие компании. В результате атак, например, была отключена система радиационного контроля на Чернобыльской АЭС, а также заблокирована работа киевского метро, железных дорог и нескольких аэропортов.
Расследование украинских спецслужб привело к выводу, что за атаками стояли агенты российской разведки и что эта операция была частью гибридной войны, которую Москва вела против Украины в то время. Целью россиян было нанести как можно больший ущерб, а атака была замаскирована под атаку ransomware. В отчете ЦРУ за 2018 год приписывается проведение операции службе военной разведки Российской Федерации (ГРУ), и эту точку зрения также поддержал министр обороны Великобритании. В том же контексте пресс-секретарь Белого дома в феврале 2018 года, приписав атаку российской армии, заявил, что это была «самая разрушительная и дорогостоящая кибератака в истории». В то время президентом США был Дональд Трамп.
Отделение связи 414 делает черные деньги для северокорейского режима с помощью онлайн-краж и атак ransomware
Но Россия - не единственная страна, которая поддерживает и финансирует подобные группы. В 2017 году Национальная служба здравоохранения Великобритании стала жертвой атаки ransomware, которая нанесла ущерб почти на 100 миллионов долларов. Атака, направленная и на другие цели, на несколько дней остановила работу больниц, кабинетов врачей и аптек в Англии и Шотландии. Последующее расследование показало, что атака могла быть связана с так называемой группой Lazarus, которая, по утверждению Министерства юстиции США, участвует в операциях правительства Северной Кореи по подрыву глобальной кибербезопасности; Lazarus также приносит Пхеньяну незаконные доходы, обходя западные санкции. Бывший северокорейский секретный агент Ким Кук-сон, дезертировавший в 2014 году, говорит, что в Пхеньяне это подразделение известно как «Офис связи 414», что, предположительно, является аллюзией на сообщение об ошибке «414 URL Too Long», которое появляется, когда загрузка веб-сайта в браузере становится невозможной из-за слишком большого размера кода, который сервер должен интерпретировать. За годы своего существования группировка была признана ответственной за кражу сотен миллионов долларов из банков по всему миру, в том числе из Эквадора, Вьетнама, Бангладеш, Тайваня, Индии, Польши и Мексики. Сотни миллионов долларов были также похищены северокорейской группировкой в криптовалютах и других финансовых продуктах. Однако главной целью Lazarus остается Южная Корея, которая постоянно подвергается атакам, будь то СМИ, финансовые учреждения или китически важные объекты инфраструктуры, такие как коммуникационные или энергетические провайдеры.
В июле 2022 года ФБР, Агентство кибербезопасности и защиты инфраструктуры США и Министерство финансов США выпустили предупреждение о том, что «киберакторы, спонсируемые Северной Кореей», совершают атаки ransomware, направленные на кибербезопасность, в основном в секторе здравоохранения и общественного здоровья. Кстати, у Агентства кибербезопасности США также есть страница, посвященная предупреждению об опасности, которую представляет собой Пхеньян для безопасности американских компьютерных систем, где отмечается, что «киберпрограмма Северной Кореи представляет собой сложную и гибкую угрозу шпионажа и кибератак, которая продолжает адаптироваться к мировым тенденциям киберпреступности».
Кибернетическое наступление Китая на Запад
В конце прошлого месяца Министерство юстиции США объявило, что в ходе санкционированной судом операции, проведенной еще в декабре 2023 года, оно уничтожило сеть из сотен персональных или офисных роутеров, зараженных вирусом-ботнетом, созданным китайскими хакерами, спонсируемыми государством. В официальном заявлении директор ФБР Кристофер Врэй сказал, что "хакеры из Китая нацеливаются на американскую гражданскую критическую инфраструктуру, заранее готовясь нанести реальный ущерб американским гражданам и сообществам в случае конфликта". Это последнее сражение в кибервойне, которую Китай и США ведут уже некоторое время.
С момента прихода Си Цзиньпина к власти в Коммунистической партии Китая Министерство государственной безопасности стало отвечать за кибершпионаж больше, чем военные, и теперь координирует несколько хакерских групп, действующих по всей стране. Red Apollo, Numbered Panda, Deputy Dog, Zirconium, Periscope Group, Double Dragon, Tropic Trooper или Volt Typhoon - вот лишь некоторые из этих групп. Последняя в этом списке также считается ответственной за неудачную атаку в конце прошлого года в США. Но атаки финансируемых, поддерживаемых и координируемых Пекином хакеров также были зафиксированы в Австралии, Канаде, Индии, Японии, Новой Зеландии, Тайване, Великобритании и даже в Ватикане, когда китайские хакеры взломали компьютерную сеть Святого престола перед раундом переговоров между Китаем и Ватиканом в июле 2020 года. Очевидно, что Украина не могла не попасть в список стран, атакованных китайскими хакерами. В апреле 2022 года газета The Times писала, что за несколько дней до начала российского вторжения китайское военное подразделение совершило кибератаки на около шестисот украинских правительственных сайтов, включая сайт Министерства обороны в Киеве.
По данным Агентства кибербезопасности США, «Китай представляет собой самую большую, самую активную и самую постоянную угрозу кибершпионажа для США. Китай, безусловно, способен совершить кибератаки, которые могут затронуть критически важную инфраструктуру США, включая нефте- и газопроводы или железнодорожную систему».
Кибератаки иранских Стражей революции против Израиля и Запада
Несколько дней назад Соединенные Штаты ввели санкции против шести ответственных Корпуса стражей исламской революции Ирана, которые, по их мнению, несут ответственность за кибератаки на нескольких американских водопроводных станций в конце прошлого года. Этот шаг добавил Иран в список государств, которые поддерживают и финансируют кибертерроризм. Cyber Av3ngers - это название возглавляемой Тегераном хакерской группировки, которая заявила о себе прошлой осенью, когда взяла на себя ответственность за атаку на технологические компании в Израиле. Впоследствии, используя информацию, украденную из израильских файлов, Cyber Av3ngers использовали базовые методы для сканирования Интернета и выявления устройств, произведенных израильскими компаниями, подвергшимися нападению ранее. Затем они подключались к этим устройствам, используя их стандартные учетные данные, которые не менялись после установки, и им удалось заблокировать работу нескольких водопроводных станций на территории США.
К числу атак, приписываемых иранским хакерским группам, относятся атака на британский парламент в 2017 году, которая продолжалась 12 часов и привела к взлому электронной почты 90 членов парламента, масштабная атака на несколько израильских правительственных сайтов в 2022 году, которая заставила Национальное киберуправление Израиля объявить чрезвычайное положение и была названа крупнейшей кибератакой, когда-либо предпринятой против Израиля, и атака с целью выкупа на израильское население в 2023 году.
Усилия Ирана стать силой в кибервойне весьма значительны и даже принесли заметные результаты, как мы видели выше. Однако эмбарго, наложенное западными государствами, и изоляция страны от международной технологической системы не позволяют Ирану развивать потенциал кибератак с помощью более сложных технических средств. Однако укрепляющийся союз Ирана с Россией может ускорить прогресс киберпотенциала Тегерана и усилить угрозы для Запада и стран Ближнего Востока, с которыми он находится в конфликте.
Как Румыния защищается в случае крупномасштабной кибератаки
Возвращаясь к Румынии и кибератакам на государственные учреждения, мы попытались выяснить, насколько эта информация известна и может быть обнародована, ответы на ряд вопросов, которые мы задали двум палатам парламента, правительству и президенту Румынии, а также Национальному управлению кибербезопасности, Специальной службе телекоммуникаций и Министерству исследований, инноваций и цифровизации. Вопросы касались информации, связанной с расследованием двух кибератак, совершенных в январе, выяснения географического положения IP-адресов, с которых они были запущены, и подозрений в том, что атаки были организованы враждебным Румынии государственным субъектом. Мы также хотели выяснить, какие учреждения подвергаются «200 кибератакам в день», о которых упомянул министр по цифровизации, кто отвечает за кибербезопасность веб-сайтов и баз данных румынского парламента, правительства или президентства и, самое главное, какое влияние окажет на Румынию кибератака, подобная той, что была совершена на Коста-Рику в апреле-мае 2022 года. На момент сдачи в печать наши электронные письма остались без ответа, единственным учреждением, связавшимся с нами, является DNSC, которая пообещала ответить на наши вопросы, как только сможет предоставить информацию, «поскольку расследование все еще продолжается».
Veridica будет публиковать ответы учреждений, с которыми мы связались, по мере их получения.
ОБНОВЛЕНИЕ 8 февраля: Пользуясь положениями статьи 12, пункт (1), буква e, Закона № 544/2001 о свободном доступе к информации, представляющей общественный интерес, Управление по СМИ и представлению Палаты депутатов сообщило нам, что не может предоставить нам " идентичность" государственной службы/учреждения или департамента, отвечающего за безопасность веб-сайта и базы данных нижней палаты Парламента, а также данные о ведущемся расследовании (кто его проводит/на какой стадии разбирательства оно находится и т.д.). Статья, на которую ссылаются, гласит, что "информация о процедуре уголовного или дисциплинарного расследования, если результат расследования находится под угрозой, раскрыты конфиденциальные источники или жизнь, телесная неприкосновенность или здоровье человека находятся под угрозой в результате проведенного или проводимого расследования", освобождается от свободного доступа граждан, но ничего не говорит об информации, касающейся услуги, оплачиваемой из государственных средств, а именно обеспечения безопасности веб-сайта и базы данных одного из важнейших государственных учреждений страны.