Масована кібератака на державні реєстри: чи є витік даних та як це загрожує українцям

Ввечері 19 грудня російські хакери здійснили масштабну кібератаку на державні реєстри України. Під атакою опинились ресурси Міністерства юстиції України.

Внаслідок кібератаки були призупинена робота низки держреєстрів, а також деякі послуги у застосунку Дія.

За словами хакерів, їм вдалось викрасти даних на 1 млрд рядків, зокрема видалити її як з українських серверів, так і резервні копії у Польщі.

Про те, які це наслідки матиме для українців, як це ставить під загрозу безпеку країни та коли відновиться робота сервісів – Факти ICTV розбирались разом із експертом з кібербезпеки.

• Кібератака на держреєстри Мін’юсту: що сталося
• Що каже Мін’юст та інші служби про витік даних під час масованої кібератаки
• Коли відновлять роботу реєстри
• Масована кібератака на реєстри Мін’юсту: що кажуть кіберфахівці

Кібератака на держреєстри Мін’юсту: що сталось

Після хакерської атаки на реєстри Мін’юсту під загрозою опинились Реєстр юридичних осіб та ФОПів, судових рішень, фізосіб та інші.

Через те, що застосунок Дія тісно зв’язаний із державними реєстрами, у ньому перестали працювати низка сервісів, зокрема послуги ФОП і ТОВ, перереєстрація авто, бронювання працівників, єВідновлення, витяги з ЄДР, актові записи, повідомлення про пошкоджене/знищене майно.

Міністерка юстиції Ольга Стефанішина у своїй заяві назвала цей кіберзлочин наймасштабнішою зовнішньою кібератакою на держреєстри України за останній час.

Відповідальність за кібернапад взяло угруповання XakNet Team. Це російське угруповання, яке, як само себе позиціонує, здійснює хакерські атаки на волонтерських засадах. Вони ж брали на себе відповідальність під час кібератаки на канал Україна 24 у березні 2022 року, де в ефірі з’явилось фейкове відео із нібито президентом Володимиром Зеленським, який казав про те, що здається росіянам.

У своєму Telegram-каналі хакери написали, що атака здійснювалась на ДП Національні інформаційні системи (НАІС). Саме НАІС є оператором даних з реєстрів. Завдяки цій атаці на НАІС хакерам вдалось, принаймні за їх заявою, вийти на “інфраструктуру зі всіма даними Міністерства юстиції України”, повідомляли в XakNet Team.

Як пишуть російські хакери, їм нібито вдалось отримати дані на 1 млрд рядків, а також видалити їх з ресурсів Мін’юсту, а також резервну копію цих даних, що зберігалась на серверах у Польщі.

В ДП НАІС спочатку писали про планові технічні роботи з 22:00 до 24:00 19 грудня, втім вже ближче до опівночі з комунікацією вийшла очільниця Мін’юсту Ольга Стефанішина, яка заявила про кібератаку.

Станом на вечір 20 грудня сайти НАІС, Мін’юсту та Єдиних та Державних реєстрів (ЄДР) не працюють.

Як заявила Ольга Стефанішина, кібератака росіян здійснювалась з метою порушити роботу критично важливої інфраструктури.

Міністерка також заявила, що за кібератакою стоять російські спецслужби.

– Зокрема, угруповання, повʼязане з ГРУ, – сказала вона.

Стефанішина додала, що це було масованою атакою на всю інфраструктуру, яка готувалася протягом місяців.

Згодом керівник Департаменту кібербезпеки СБУ Володимир Карастельов заявив, що головною версією, яку розглядає Служба безпеки, є причетність російських спецслужб до здійсненої атаки, зокрема ГРУ ГШ РФ.

Що каже Мін’юст та інші служби про виток даних під час масованої кібератаки

Під час брифінгу зі Стефанішиною керівник Карастельов заявив, що наразі проводяться перевірки щодо можливого витоку даних з реєстрів.

– Спростовувати, що витік даних відбувся, я не можу, зараз ведеться відповідне кібердослідження. І після отримання даних ми надамо всю належну інформацію, – заявив він.

Міністерка юстиції Ольга Стефанішина під час пресконференції додала, що голова Державної служби спеціального зв’язку і захисту інформації казав їй, що наразі витік даних не підтверджується.

У Мін’юсті своєю чергою заявляють, що їм “поки невідомо, чи вдалось хакерами викачати базу”.

Голова Державної служби спеціального зв’язку та захисту інформації України Олександр Потій у своєму дописі заявив, що атака хакерів з РФ на інформаційні системи Міністерства юстиції України “чітко продемонструвала нам, що кіберпростір є такою самою повноцінною ареною бойових дій, як і інші домени”.

Втім Потій не став коментувати інформацію про те, чи були отримані росіянами дані з реєстрів.

Коли відновлять роботу реєстри

Стефанішина запевняє, що реєстри будуть відновлені, втім наразі їх робота призупинена.

– На даному етапі припинена робота всіх реєстрів в цілях безпеки — збереження інформації та уникнення подальших провокацій. У першу чергу будуть відновлюватись реєстри, які забезпечують облік дій нотаріусів. Першочерговим для нас є відновлення реєстру прав на нерухоме майно та реєстру юридичних, фізичних осіб, — зазначила вона.

Віцепрем’єрка заявила, що у Мін’юсту “є бекапи всіх даних з усіх державних реєстрів”, а сервери відомства “розміщені в не одній локації”.

– Час першочергового відновлення складатиме орієнтовно до двох тижнів, – написала Стефанішина у своєму першому коментарі щодо кібератаки.

Вже під час брифінгу, Стефанішина уточнила інформацію. За її даними, перш за все Мін’юст відновить роботу:

• Єдиний реєстр довіреностей,
• Єдиний реєстр спеціальних бланків нотаріальних документів
• та Спадковий реєстр.

Це дозволить забезпечити “належний облік даних та мінімізувати негативний вплив внаслідок потенційних неправомірних нотаріальних дій”.

– Надалі у пріоритеті відновлення Державний реєстр актів цивільного стану громадян, Єдиний державний реєстр юридичних осіб та фізичних осіб-підприємців, Державний реєстр прав на нерухоме майно та їх обтяжень, – повідомила Стефанішина.

Масована кібератака на реєстри Мін’юсту: що кажуть кіберфахівці

У коментарі Фактам ICTV експерт із кібербезпеки Костянтин Корсун каже, що “катастрофічні наслідки” від кібератаки “навряд чи будуть”.

Водночас експерт переконаний, що, попри заяви Мін’юсту та Держспецзв’язку, росіяни все ж змогли отримати доступ до даних реєстрів міністерства і вивантажити їх.

– Якщо хакери вже проникли всередину захищеного периметру державних реєстрів Мін’юсту, то вони могли взяти все, що захотіли. Дуже дивно, коли ви, наприклад, приходите, ваша квартира розгромлена, там були якісь злодії всередині. От що у такій ситуації їм заважало взяти все, що їм заманеться?..

Якщо вони вже оминули захист і подолали усі системи безпеки, а сам ти маєш права, що дозволяють тобі знищувати інфраструктуру, видаляти віртуальні машини, то відповідно у тебе є доступ до усього. Якщо ти можеш видаляти, то ти можеш і просто скопіювати і винести дані, інформацію, – каже Корсун.

Питанням залишається те, скільки саме даних росіяни змогли винести непоміченими, оскільки у випадку, якщо йдеться про великі обсяги даних і починає щось завантажуватись інтенсивно, тоді різко зростає трафік і це привертає увагу в системи безпеки, каже експерт з кібербезпеки, тому багато росіяни забрати навряд чи змогли.

– Я думаю, що якщо у росіян було достатньо часу для того, щоб подивитися, зібрати оце все найсмачніше, найцінніше, то тут і питання в тому, як довго вони перебували в системі до того, як вирішили все там зруйнувати. Цього також наразі невідомо, – каже Корсун.

Костянтин Корсун також погоджується із оцінкою Стефанішиною, що такі масовані кібератаки готуються не за один вечір, а робота над ними триває місяцями.

– Тому в мене немає сумнівів, що вони щось забрали. Це було б абсолютно наївно вважати, що хтось заліз у твою квартиру і нічого не взяв, якщо дивитись на це з точки зору злочинця, – каже експерт.

На запитання, як саме можуть використані дані українців, враховуючи російсько-українську війну, Корсун каже, що тут є декілька варіантів.

– Ці дані можуть бути використані у шахрайських якихось схемах проти України, тому що російські кол-центри активно працюють проти українців. А можуть бути продані на тих самих підпільних майданчиках просто хакерам, злочинцям, будь-кому, хто буде їх використовувати для шахрайства, для соціальної інженерії проти українців, – каже експерт.

У випадку, якщо це хакерське угруповання тісно співпрацює із російськими спецслужбами, то, з великою долею ймовірності, РФ буде використовувати отриману інформацію для своїх шпигунських операцій, для виявлення військовослужбовців, членів їх сімей і, відповідно, може влаштовувати шантаж, залякування чи займатись тим самим шахрайством.

– Тобто це трохи більше можливостей до тих, яких вони вже мають. Тому що наші бази даних неодноразово різні витікали і по майновим правам, – каже експерт.

Костянтин Корсун пригадує, що коли сталась масована кібератака та злам Дії у січні 2022 року, тоді російські спецслужби виклали частину отриманих даних в мережу, щоб продемонструвати, що вони дійсно отримали доступ до цієї інформації. Такий сценарій можливий і цього разу, вважає експерт.

– Я думаю, що навіть найближчими днями ми їх побачимо, тому що росіяни люблять це робити як доказ своєї начебто могутності, що вони “можуть все”, нібито що завгодно зламати і велика вірогідність того, що вони або виставлять на продаж, або на безкоштовний доступ, – каже експерт.

Втім, додає Корсун, навряд чи росіяни дізнались щось принципове нове з цих даних, але це стане додатковими інструментами для російської OSINT діяльності, планування шпигунських операцій, диверсій тощо.

– Нічого в цьому плані екстраординарного не сталося. Вони доповнили дані до своєї розвідки таким чином. Можливо, оновлять якісь свої дані, бо вони постійно здійснюють цей безперервний процес оновлення. Якщо ви хакнули базу даних якихось, то дані мають властивість застарівати. Через рік це буде вже на третину неактуальна інформація, оскільки, наприклад, люди змінюють прізвища, адреси проживання, сімейний стан, майновий стан тощо. Все постійно змінюється в динаміці, – пояснює експерт.

На думку Костянтина Корсуна, росіяни, ймовірно, могли задовго до повідомленням Мін’юсту про кібератаку отримати чимало даних, а потім “влаштувати феєрверк”.

– Вони, мабуть, все зробили, взяли все, що їм було потрібно, а потім вирішили феєрверк влаштувати, грюкнути дверима з усієї сили, щоб аж стіни захитались. Це такий вау-ефект, щоб ще додатковий імпульс, вплив на суспільство українське, – вважає він.

Водночас експерт не вважає, що ці зливи баз даних можуть якимось чином бути пов’язані із потенційними обстрілами України.

– Якісь деталі, якісь дані розвідки, дорозвідки здійснюються, про якихось людей, про якихось підприємств, про якісь адреси, можливо, все росіяни для себе додатково уточнюють. Але прямого зв’язку з обстрілами безпосередньо я не бачу, з урахуванням ще низької точності їхньої зброї, – каже експерт.

Корсун нагадує, що якщо казати про обстріли, зокрема удари РФ по критичній інфраструктурі, то росіяни часто ціляться в одне місце, а влучають в інше, тому доступ до даних навряд чи зможе змінити ситуацію.