Кибергвардия Украины: Кто защищает Сеть от хакеров

Украина втянута в кибервойну, но воевать она не может. Противник слишком хорошо подготовлен, а ресурсы его несравнимы с нашими. В один клик мышки из чужой страны у нас может прогреметь второй Чернобыль, а Дмитрий Ярош неожиданно для всех победит на выборах президента. Но ничего такого пока не случилось, и это заслуга невидимого отряда, о существовании которого большинство украинцев даже не подозревает — команды реагирования на компьютерные угрозы CERT-UA.

Только 15 мая 2014 года CERT-UA был впервые упомянут в Законе Украины — до этого о команде мало кто знал, хотя на самом деле она функционирует в составе Госспецсвязи с 2007 года. Публичности украинские киберзащитники не любят поэтому в СМИ почти не фигурировали.

Журналистов на входе в Госспецсвязи встречают сотрудники — в здание пускают только по пропускам, на входе женщина в военной форме записывает паспортные данные.

«Структура военизированная, мы здесь все имеем звания, только мы не военные и не милиция — мы специальная служба. Сюда вообще журналистов не пускают. Это третий раз за всю историю ведомства, и то прошлые два были в день открытых дверей», рассказывает подполковник Госспецсвязи, начальник Государственного центра защиты информационно-телекоммуникационых систем Игорь Козаченко.

Команда реагирования на компьютерные угрозы в Украине начала зарождаться еще в 2000-х — тогда при Департаменте специальных телекоммуникационных систем и защиты информации СБУ появился государственный центр безопасности, на который возлагался ряд функций по информационной защите. Операторам связи он не нравился — его воспринимали, как спецслужбу, которая шпионит за пользователями.

Первая командировка украинской команды была в финский CERT, созданный при государтсвенном министерстве связи. Финны тогда уже обладали значительным опытом в сфере кибербезопасности и имели аккредитацию международной организации FIRST (Forum of Incident Response and Security Teams), которая объединяет все «церты» мира (на сегодня их 304) и определяет правила, которые они должны соблюдать. Если какой-то CERT не отвечает заявленным стандартам, то может лишиться аккредитации.

Аккредитация FIRST для команды реагирования означает признание другими «цертами». Процесс ее получения может затянуться на пару лет — нужно не только продемонстрировать высокий уровень команды, но и получить рекомендации от нескольких членов FIRST. Первыми поручителями украинской команды стали финны, а сегодня CERT-UA — не просто достойный участник FIRST, но и одна из лучших команд, как показывают последние совместные «кибер-учения».

В FIRST «церты» не только делятся опытом, но и напрямую сотрудничают. Например, если российский CERT фиксирует атаку из Украины, он передает данные в CERT-UA. Украинская команда расследует инцидент, после чего дело передают в СБУ, и правоохранители привлекают виновных к ответственности. Аналогично, если CERT-UA фиксрует нападение российских хакеров, она обращается к российской команде. Тут-то и возникает проблема.

Украинцы добросовестно выполняют свои функции, а вот у россиян особого рвения сотрудничать не наблюдается.

За последние месяцы в CERT-UA фиксируют значительный рост атак со стороны России. Одним из ярчайших примеров стала попытка российского телевидения силами хакеров дискредитировать выборы в Украине. В Госспецсвязи исследовали атаку и нашли в ней явные следы телеканала ОРТ, который в горячке выпустил сюжет об инциденте, так и не состоявшемся по факту. Речь идет о якобы победе лидера «Правого сектора» Дмитрия Яроша на выборах президента Украины.

Сейчас команда готовит полную подборку информации для следственных органов, а пока выпустила статью о том, как команде удалось найти и обезвредить вброс ОРТ. В CERT-UA предполагают, что канал просчитался с исполнителями — заказали услуги не очень «дорогих» хакеров, которые не смогли завершить начатое.

Второй знаковый случай — нашумевший вирус «Уроборос». Также его называют Trula, Snake, Red October, Flame — все это формы зловреда Agent.BTZ, известного уже лет семь. Он полиморфен, и ранее обнаруживался командами других стран, которые давали ему разные названия. Однако последний эпизод мировые эксперты признали военной кибероперацией против Украины по заказу российского правительства.

Атака поразила десятки украинских компьютерных сетей, включая правительственные, и стала одной из самых сильных среди зафиксированных в мире за последние несколько лет. Английские эксперты обнаружили, что вирус обладает очень высоким уровнем сложности, гибок и может развиваться — в нем присутствуют как известные, так и новаторские технологические функции.

Несмотря на то, что в «Уроборосе» нашли следы Москвы, доказать, кем и с какой целью производилась данная серия атак, почти невозможно.

Угрозы таких масштабов, как «Уроборос», в CERT-UA имеют статус киберопераций. Это атаки или серии атак, которые могут нанести существенный ущерб вплоть до инфраструктурных повреждений и парализовать работу таких жизненноважных объектов, как системы водо-, электро- и теплоснабжения. Чаще всего такие угрозы взаимосвязаны и носят системный характер.

Начинаются они с кибер-разведки — хакеры внедряются и наблюдают, как скоро и каким образом реагирует оппонент. Когда атака блокируется, они переписывают вирус и CERT приходится иметь дело с уже совсем другим ПО. Здесь, как и в реальной войне, бои идут за позиции — цель вражеских войск продвинуться вглубь, а цель защитников — отогнать их как можно дальше.

Как и прочие украинские госструктуры, CERT-UA страдает от недофинансирования. Особенно с тех пор, как в Украине приняли антикризисный закон, в рамках которого сократили госзакупки.

Хочешь узнать больше - читай отзывы

techno.bigmir.net