Репортаж из штаба CERT-UA

Дата: 06.06.2014
Источник: Cybersafetyunit.com


Украина втянута в кибервойну, но воевать она не может. Противник слишком хорошо подготовлен, а ресурсы его несравнимы с нашими.

В один клик мышки из чужой страны у нас может прогреметь второй Чернобыль, а Дмитрий Ярош неожиданно для всех победит на выборах президента. Но ничего такого пока не случилось, и это заслуга невидимого отряда, о существовании которого большинство украинцев даже не подозревает — команды реагирования на компьютерные угрозы CERT-UA.

Только 15 мая 2014 года CERT-UA был впервые упомянут в Законе Украины — до этого о команде мало кто знал, хотя на самом деле она функционирует в составе Госспецсвязи с 2007 года. Публичности украинские киберзащитники не любят поэтому в СМИ почти не фигурировали. Однако AIN.UA удалось проникнуть в самое сердце отечественной “киберкрепости” и пообщаться с теми, кто стоит на страже информационной безопасности государства.


Подполковник Госспецсвязи, начальник Государственного центра защиты информационно-телекоммуникационых систем Игорь Козаченко:

Кто они киберзащитники Украины? Репортаж из штаба CERT UA“Структура военизированная, мы здесь все имеем звания, только мы не военные и не милиция — мы специальная служба. Сюда вообще журналистов не пускают. Это третий раз за всю историю ведомства, и то прошлые два были в день открытых дверей”.

Фотографировать нельзя — сотрудники CERT-UA не любят публичности. Познакомиться лично удалось только с их руководителем Иваном Соколовым, а комнату, где располагается команда реагирования, не показали — на мониторах сотрудников конфиденциальная информация, ее фиксировать нельзя.

Мировое признание CERT-UA

Команда реагирования на компьютерные угрозы в Украине начала зарождаться еще в 2000-х — тогда при Департаменте специальных телекоммуникационных систем и защиты информации СБУ появился государственный центр безопасности, на который возлагался ряд функций по информационной защите. Операторам связи он не нравился — его воспринимали, как спецслужбу, которая шпионит за пользователями.

Виктор Лещук, заместитель начальника Государственного центра защиты информационно-телекоммуникационых систем Госспецсвязи:

Кто они киберзащитники Украины? Репортаж из штаба CERT UA“Изучая опыт многих стран мира мы поняли, что нам лучше уйти от системы правоохранительных органов и СБУ и работать в секторе государственных органов, имеющих регуляторные функции. Так это организовано во всем мире. В 2005 году эту необходимость определил Указ Президента Украины «О соблюдении прав человека во время проведения оперативно-технических мероприятий». И с 2006 года в структуре Госспецсвязи был создан государственный центр защиты ИТС, в состав которого вошла команда реагирования на компьютерные угрозы CERT. Структура возникла, но в области кибербезопасности мы поехали изучать мировой опыт”.

Первая командировка украинской команды была в финский CERT, созданный при государтсвенном министерстве связи. Финны тогда уже обладали значительным опытом в сфере кибербезопасности и имели аккредитацию международной организации FIRST (Forum of Incident Response and Security Teams), которая объединяет все “церты” мира (на сегодня их 304) и определяет правила, которые они должны соблюдать. Если какой-то CERT не отвечает заявленным стандартам, то может лишиться аккредитации.

Аккредитация FIRST для команды реагирования означает признание другими “цертами”. Процесс ее получения может затянуться на пару лет — нужно не только продемонстрировать высокий уровень команды, но и получить рекомендации от нескольких членов FIRST. Первыми поручителями украинской команды стали финны, а сегодня CERT-UA — не просто достойный участник FIRST, но и одна из лучших команд, как показывают последние совместные “кибер-учения”.

В FIRST “церты” не только делятся опытом, но и напрямую сотрудничают. Например, если российский CERT фиксирует атаку из Украины, он передает данные в CERT-UA. Украинская команда расследует инцидент, после чего дело передают в СБУ, и правоохранители привлекают виновных к ответственности. Аналогично, если CERT-UA фиксрует нападение российских хакеров, она обращается к российской команде. Тут-то и возникает проблема.

Виктор Лещук: “Коллеги из российского CERT формально выполняют свои обязательства перед FIRST и перед нами — они передают в местные правоохранительные органы наши наводки на киберпреступников, которые атакуют украинские ресурсы. Но ФСБ и МВД отрабатывает далеко не все инциденты. Правила соблюдены, а по факту хакеры продолжают осаждать Украину и никто против них никаких действий не предпринимает”.

Кибернаступление из России: случай с Ярошем

За последние месяцы в CERT-UA фиксируют значительный рост атак со стороны России. Одним из ярчайших примеров стала попытка российского телевидения силами хакеров дискредитировать выборы в Украине. В Госспецсвязи исследовали атаку и нашли в ней явные следы телеканала ОРТ, который в горячке выпустил сюжет об инциденте, так и не состоявшемся по факту. Речь идет о якобы победе лидера «Правого сектора» Дмитрия Яроша на выборах президента Украины.

Виктор Лещук: “Кибератаки на ЦИК во время выборов происходят постоянно, начиная с 2004 года. Но впервые в истории они направлены не та то, чтобы сорвать или сфальсифицировать, а на то, чтобы дискредитировать выборы в Украине. Они внедрились в систему непосредственно перед выборами и ждали, что система даст сбой. Однако CERT-UA вовремя обнаружила подлог и предприняла меры по локализации этого инцидента».

Сейчас команда готовит полную подборку информации для следственных органов, а пока выпустила статью о том, как команде удалось найти и обезвредить вброс ОРТ. В CERT-UA предполагают, что канал просчитался с исполнителями — заказали услуги не очень «дорогих» хакеров, которые не смогли завершить начатое.

В противостоянии с российскими хакерами, которые атаковали ЦИК и систему “Выборы”, команде CERT-UA помогали интернет-провайдеры — с киберзащитниками они сотрудничают давно и плодотворно.

Кибернаступление из России: Уроборос

Второй знаковый случай — нашумевший вирус “Уроборос”. Также его называют Trula, Snake, Red October, Flame — все это формы зловреда Agent.BTZ, известного уже лет семь. Он полиморфен, и ранее обнаруживался командами других стран, которые давали ему разные названия. Однако последний эпизод мировые эксперты признали военной кибероперацией против Украины по заказу российского правительства.

Атака поразила десятки украинских компьютерных сетей, включая правительственные, и стала одной из самых сильных среди зафиксированных в мире за последние несколько лет. Английские эксперты обнаружили, что вирус обладает очень высоким уровнем сложности, гибок и может развиваться — в нем присутствуют как известные, так и новаторские технологические функции.

Несмотря на то, что в “Уроборосе” нашли следы Москвы, доказать, кем и с какой целью производилась данная серия атак, почти невозможно.



Майор Иван Соколов, руководитель CERT-UA:

Кто они киберзащитники Украины? Репортаж из штаба CERT UA“Тяжело установить, кто на самом деле атакует. И даже если эта атака производилась с территории Российской Федерации — это еще ничего не значит. Такие атаки на Украину ведутся постоянно, часто из России, но мы учимся с ними справляться.

Но кибервойна — это не только защита, но и нападение. У нас нет опыта кибератак — мы не воюем, мы только защищаемся.

Угрозы таких масштабов, как “Уроборос”, в CERT-UA имеют статус киберопераций. Это атаки или серии атак, которые могут нанести существенный ущерб вплоть до инфраструктурных повреждений и парализовать работу таких жизненноважных объектов, как системы водо-, электро- и теплоснабжения. Чаще всего такие угрозы взаимосвязаны и носят системный характер.

Начинаются они с кибер-разведки — хакеры внедряются и наблюдают, как скоро и каким образом реагирует оппонент. Когда атака блокируется, они переписывают вирус и CERT приходится иметь дело с уже совсем другим ПО. Здесь, как и в реальной войне, бои идут за позиции — цель вражеских войск продвинуться вглубь, а цель защитников — отогнать их как можно дальше.

Иван Соколов: “Такие нападения не совершают простые хакеры или даже группировки, потому что на них нужны огромные ресурсы. А спецслужбы готовы тратить на это много денег”.

КиберУкраина в законодательной базе

В последнее время CERT-UA все чаще фиксирует случаи, имеющие характер киберопераций. Часто они направлены на Министерство иностранных дел или украинские посольства в других государствах, а также против центральных органов исполнительной власти Украины. Команде неоднократно приходилось противостоять крупным акциям. Например, из-за атаки на датацентр “Парковый” была практически парализована работа Бортнической станции аэрации, чьи системы хостились на этих...

Добавить комментарий

Всего 0 комментариев