Хакери заразили високотехнологічним шкідливим програмним забезпеченням як мінімум 500 тисяч маршрутизаторів і пристроїв зберігання даних у десятках країн, можливо, готуючись до нової масштабної кібератаки на Україну. Про це у середу, 24 травня, попердила Cisco Systems Inc, пише Цензор.НЕТ з посиланням на Reuters.
Talos, підрозділ Cisco, що займається аналізом загроз кібербезпеки, повідомив, що великою мірою впевнений у тому, що за кампанією, названою VPNFilter, стоїть російський уряд, оскільки встановлене програмне забезпечення має код, аналогічний використаному в попередніх кібератаках, в яких американський уряд звинуватив Москву.
Cisco повідомила, що шкідливе програмне забезпечення може використовуватися для шпигунства, створення перешкод для інтернет-комунікації або здійснення кібератак на Україну. Київ раніше покладав на Росію відповідальність за потужні кібератаки, які зокрема приводили до збоїв в енергосистемі України і припинення роботи заводів.
“З такою мережею можна зробити все, що завгодно”, – сказав Reuters дослідник Cisco Крейг Вільямс.
Російський уряд категорично відкидає звинувачення з боку України, США, низки інших країн і західних фірм, що спеціалізуються на кібербезпеці, які стверджують, що Кремль стоїть за масштабною і глобальною хакерською кампанією, в рамках якої здійснювалися спроби нашкодити українській економіці і втрутитися в президентські вибори 2016 року в США.
За повідомленням Cisco, шкідливе програмне забезпечаення містить модуль, що виводить з ладу промислові мережі, зокрема ті, що відповідають за управління енергосистемами.
“Ми повинні ставитися до цього дуже серйозно”, – сказав Майкл Деніел, глава Cyber Threat Alliance (CTA) – некомерційної організації, яка виступає за обмін даними про нові загрози між конкурентами в сфері гарантування кібербезпеки.
Cisco в понеділок передала CTA технічні дані VPNFilter, розповівши про те, що їй вдалося дізнатися за кілька місяців аналізу кампанії.
“VPNFilter заражає маршрутизатори і під’єднання до інтернету пристрою зберігання даних в домашніх офісах і невеликих конторах, проте всі заражені пристрої разом можуть бути використані для здійснення скоординованих атак більших цілей.
Хоча заражені пристрої були виявлені як мінімум у 54 країнах, Cisco з’ясувала, що метою хакерів була Україна, після різкого збільшення випадків зараження в країні 8 травня.
Дослідники вирішили оприлюднити те, що дізналися про кампанію, оскільки побоювалися, що зростання кількості заражень в Україні, де спостерігалася найбільша їх кількість, означало, що Москва готується здійснити атаку в наступному місяці – ймовірно, в той час, коли Україна відзначатиме День Конституції, який святкується 28 червня”, – сказав Крейг Вільямс.
Деякі з наймасштабніших кібератак в Україні були здійснені під час свят або за кілька днів до них.
Серед них – здійснена в червні 2017 року атака з використанням вірусу NotPetya, яка привела до збою комп’ютерних систем в Україні, а потім поширилася по всьому світу, а також хакерські атаки на енергосистему країни в 2015 і 2016 роках напередодні Різдва.
“Нам відомо про цю ситуацію і цю вразливість, – повідомив глава департаменту кіберполіції Нацполіції України Сергій Демедюк у відповідь на запит Reuters. – Зараз ми спільно з СБУ вживаємо заходів щодо недопущення будь-яких кіберінцидентів, які можуть виникнути. Між нами чітко розподілені певні завдання, які ми синхронно виконуємо, щоб убезпечити наших громадян і держсектор від можливих кіберзагроз”.
Служба безпеки України попередила про можливу масштабну кібератаку на держструктури і приватні компанії напередодні фінального матчу Ліги чемпіонів, який відбудеться в Києві 26 травня.
“Фахівці з кібербезпеки СБУ вивчають чергову можливу хвилю масового ураження розміщених в Україні мережевих пристроїв, – йдеться в повідомленні СБУ. – Шкідливе програмне забезпечення, яке може бути використано хакерами, отримало умовну назву VPNFilter. Фахівці СБУ вважають, що інфікування обладнання саме на території України – підготовка до чергового акту кіберагресії з боку Росії, спрямованого на дестабілізацію ситуації під час проведення фіналу Ліги чемпіонів. Про це свідчить і те, що запланований механізм кібератаки збігається з техніками, які використовувалися в 2015-2016 роках в ході кібератаки BlackEnergy”.
“VPNFilter надає хакерам віддалений доступ до заражених пристроїв, які можна використовувати для шпигунства, атак на інші комп’ютери або установки інших типів вірусів, – пояснює Крейг Вільямс. -Дослідники виявили один модуль вірусу, який використовувався для атак на виробничі комп’ютери, подібно до тих, що застосовуються для атак на електромережі, іншу інфраструктуру і заводи. Він заражає пристрої і стежить за мережевим трафіком з метою виявити облікові дані, які хакери можуть використовувати для отримання контролю над виробничими процесами”
Cisco виявила близько 500 тисяч заражених пристроїв, але вважає, що їх реальна кількість може бути значно більше.
Вірус передбачає функцію самознищення, яка дозволяє хакерам видалити шкідливе й інше програмне забезпечення на заражених пристроях, таким чином виводячи їх з ладу, сказав він.