Сегодня кибератаке в Грузии подверглись сотни веб-сайтов. Среди этих сайтов оказались как государственные, так и частные структуры. Взломаны сайты президента и нескольких телекомпаний.
На данный момент сайт президента president.gov.ge отключен, до этого же на нем открывалось лишь фото бывшего президента Михаила Саакашвили с надписью I’ll be back ( «Я вернусь»). Хакеры также атаковали официальные веб-страницы нескольких местных самоуправлений и других структур.
Возможно ли восстановить информацию, удаленную с веб-сайтов, какой интерес могут иметь хакеры и насколько возможно расследование этого дела? С этими вопросами AMBEBI.GE обратился к директору «Кавказской академии экспертов по безопасности» Лаше Патарая. Эксперт по кибербезопасности подробно объяснил, какого типа атака произведена на веб-сайты и чему это может служить.
- Какая конкретно кибератака была совершена и могли ли быть в результате удалены все данные, которые содержались на этих сайтах ранее?
- Атака была осуществлена не сразу на веб-сайты, сначала обнаружили перебои у нескольких хостинг-провайдеров (хостинг-провайдер это компания, где размещают свои веб-страницы другие компании, в том числе и организации, то есть это услуги по размещению сайтов). Одним из них являются Proservice и Serv.ge, они самые популярные в Грузии. Те, кто осуществил кибератаку, выявил погрешности инфраструктуры веб-странииц этих компаний, которые они успешно использовали, а затем получили доступ ко всем интернет-ресурсам, которые размещены на этих провайдерах.
Предположительно, атакой DNS была предпринята атака Deface, то есть изменение внешнего вида сайта.
Прямой целью не было бы удаление данных. Даже если стереть данные, у компаний должны иметься резервные копии. Как правило у хостинговых компаний это есть. Поэтому опасения, что информация, размещенная на этих сайтах, пропала навсегда, очень малы, но все зависит от того, как часто хостинговая компания резервировала ресурсы своих клиентов. Существует риск того, что материалы за последнюю неделю или несколько дней, могли быть удалены. Тем не менее, восстановление веб-сайтов, предположительно, возможно.
- Откуда могла быть предпринятя эта кибератака или кто может быть в ней заинтересован?
- Это такая сфера, что, в основном, говорят о том, чьим это служило интересам. Я думаю, говорить об этом преждевременно. Думаю, возможно, одна из целей этой атаки состояла в том, чтобы вызвать такие разговоры, потому что это не простая и легкая атака и, прежде всего, требует затрат времени. Предположительно, группа или человек, делающий это, должны были рассчитать и определенные цели, которых достигают. Одна из целей может состоять в том, чтобы в обществе возникли разговоры на тему о том, чьим интересам это служит, начались спекуляции, но в конечном итоге на все это должно дать ответ следствие.
Киберпространство не имеет геолокации, границ, следовательно, мог быть кто угодно.
- Как вы думаете, насколько сможет следствие обнаружить след людей, стоящих за этой кибератакой, с какими трудностями это сопряжено?
- В целом, этот процесс требует экспертизы. Каждый криминал, каждый инцидент, каждое нападение оставляет след. Исходя из этого, это не то, что расследовать невозможно.
Если вы спрашиваете, какие ресурсы имеются у нас как государства, думаю, наши ресурсы очень ограничены. Я имею в виду чисто человеческие ресурсы и, исходя из этого, бывает сложно исследовать большое количество инцидентов. Это следует рассматривать одним инцидентом в случае нескольких компаний, а не как взлом 2000 веб-страниц. Исходя из этого, расследование возможно; существуют соответствующие международные форматы сотрудничества, используемые и нашими следственными структурами, поэтому я не думаю, что это нереально или невозможно.
- Как вы думаете, какую информацию пытались получить хакеры в результате этих кибератак?
- Атака такого типа не имеет задачи получить информацию. Атака такого типа имеет более пропагандистский характер, то есть, это та же атака Deface (изменение облика страницы), которая была использована против нас в 2008 году. Суть Deface в том, чтобы создать у населения определенные впечатления. Это чисто информационная война, и за ней стоит пропагандистская деятельность. Если целью было получение информации, это произошло бы до того, как эта история стала общеизвестной. Это означает, что этот индивид или группа индивидов уже имели доступ к инфраструктуре и получение информации не стало бы проблемой, однако, как правило, на веб-сайтах обычно не размещена ценная информация.
- Насколько тот факт, что осуществлены кибератаки на многие значимые веб-сайты, указывает на слабость и неподготовленность государства к киберугрозам?
- Это свидетельствует о том, что мы говорим долгое время и пытаемся донести как до индивидов, так и компаний и правительственных структур, информацию, что кибербезопасность является ненадлежаще оцененным вызовом. Как правило, нам приходится работать в реакционном режиме, случается инцидент, затем мы начинаем его исследовать. Как правило, мы не работаем превенционно - это проблема. Также проблемой является то, что как частный сектор, так и государство недостаточно осознают важность кибербезопасности, несмотря на то, что их деятельность ежедневно зависит от этих ресурсов, и при такой оценке этим вопросам не придается значение, соответственно, не выделяется бюджет на осуществление превенционных мероприятий. Из-за бюджета зарплат эта сфера для многих не привлекательна. У всего этого много причин, но главное, что кибербезопасность в нашей культуре почему-то не воспринимается надлежащим образом.
- Помимо этого случая, когда в нашей стране происходила такая масштабная кибератака?
- Кибератака подобного масштаба произошла в 2008 году, тогда тоже активно использовался тип атаки Deface, технология немного отличалась. Это то, что мне вспоминается такого масштаба, но я помню и много небольших кибератак.
В связи с произошедшим МВД Грузии начало расследование по статье 284 УК Грузии, что подразумевает самовольное проникновение в компьютерную систему.