Через два роки після великої кібератаки на всю інформаційну інфраструктуру уряду Чорногорії державна прокуратура все ще намагається знайти безпосереднього виконавця атаки.
У серпні 2022 року сервери уряду Чорногорії постраждали від програми-вимагача, типу шкідливого програмного забезпечення (зловмисного програмного забезпечення), за допомогою якого зловмисник блокує та шифрує цільові дані та важливі файли, а потім вимагає плату за розблокування та дешифрування даних.
Після серії атак з 22 по 26 серпня 2022 року Міністерство державного управління попередило державні компанії, які надають послуги з розподілу електроенергії та води, порти, аеропорти та постачальників телекомунікаційних послуг негайно підвищити рівень інформаційної безпеки до найвищого рівня.
Через кібератаку цифрова інфраструктура значної частини державного управління Чорногорії вийшла з ладу, включаючи міністерства, Управління майна, Податкове та митне управління та суди, через що видача документів та фіскальна облікові записи не працювали.
До запитання БІРН чи знайдено організатора кібератаки Міністерство державного управління знову заявило, що відповідальність за атаку на свій веб-сайт взяло на себе угруповання «Cuba-Ransomwer». У міністерстві повідомили, що всю інформацію щодо справи передали до прокуратури.
Основна державна прокуратура в Подгориці повідомила BIRN, що справа про кібератаку все ще перебуває на стадії розслідування, і що невідкладні дії направлено до Управління поліції, Департаменту кримінальної розвідки та Групи боротьби зі злочинністю у сфері високих технологій.
"В Головній державній прокуратурі в Подгориці відкрито справу проти, на даний момент, невідомого зловмисника або кількох з них за кримінальне правопорушення створення та імпорту комп'ютерних вірусів, яке розслідується. Було проведено певні доказові дії у справі досі", - сказав керівник прокуратури в Подгориці Душко Міланович.
В управлінні поліції не відповіли, на якому етапі розслідування.
Посилаючись на неофіційні джерела в розвідці, у вересні 2022 року BIRN повідомив, що внутрішнє розслідування показало, що атаку було здійснено шляхом безпосереднього впровадження шкідливого програмного забезпечення з комп’ютера, підключеного до урядового сервера. В уряді офіційно цю інформацію не підтвердили.
Від гібридної війни до кіберзлочинців
Після другої хвилі атак 26 серпня 2022 року Агентство національної безпеки (АНБ) звинуватило російські спецслужби у веденні «гібридної війни» проти Чорногорії, заявивши, що атаки «довго готувалися».
"Це дуже серйозна справа, і це дуже серйозна атака. Ми стежимо за ситуацією, також залучені РНБО, Управління поліції, Міноборони. На мою думку, це політично мотивована атака. ”, – сказав тоді прем’єр-міністр Дрітан Абазович на конференції для ЗМІ 26 серпня 2022 року.
Речниця МЗС Росії Марія Захарова відкинула претензії Подгориці як частину "постійної політики розриву відносин з Москвою на догоду Сполученим Штатам Америки (США)".
Дипломатичні відносини між Чорногорією та Росією погіршилися з 2014 року, коли Подгориця підтримала санкції Євросоюзу, запроваджені проти Москви через анексію Криму.
29 серпня 2022 року міністр державного управління Мараш Дукай заявив, що за нападом стоять не окремі особи, а визнане злочинне угруповання кібертероризму Cuba Ransomware. Тоді Дукай заявив Public servis, що атака на державні сервери планувалася давно.
"Вірус не може сформуватися за місяць. Вони чекали певний час, тобто коли здійснити таку атаку. Створення вірусу коштувало близько 10 мільйонів доларів і він досі ніде не використовувався", — сказав тоді Дукай.
Кіберугруповання «Cuba Ransomware» має історію атак, і, за даними Федерального бюро розслідувань США (ФБР), станом на листопад 2021 року угруповання було спрямовано на 49 організацій, у тому числі в уряді США. Атаки були поширені на п’ять «критичних інфраструктур», включаючи фінансовий сектор, сектор охорони здоров’я, виробництво та ІТ. За даними ФБР, зловмисники вимагали $76 млн викупу, а отримали щонайменше $43,9 млн.
Після того, як «Cuba Ransomware» оголосив на своєму веб-сайті, що він володіє даними, які належать Департаменту зі зв’язків з громадськістю парламенту Чорногорії, директор урядового Директорату з інформаційної безпеки, інфраструктури та оцифровки Душан Полович підтвердив, що близько 150 робочих станцій у 10 державні установи були скомпрометовані.
На запит уряду Чорногорії у вересні 2022 року до розслідування атаки долучилися експерти ФБР і Французького національного агентства з безпеки інформаційних систем (ANSSI).
Департамент поліції заявив у січні 2023 року, що ФБР передало їм звіт про кібератаки на урядові сервери, пояснивши, що звіт ґрунтувався на значному обсязі даних, зібраних через мережу Міністерства державного управління, і переміщенні даних з різних системи.
Звіт ФБР так і не був опублікований, а Міністерство внутрішніх справ відмовилося надати його BIRN, заявивши, що це конфіденційний документ.
Експерт з кібербезпеки Александар Обрадович вважає, що викликає занепокоєння те, що результати розслідування так і не були опубліковані.
«Ніхто не дізнається, чи були якісь дані скомпрометовані, тобто видалені чи знищені, окрім людей, які брали участь у розслідуванні або мали доступ до звітів. Звичайно, «Cuba Ransomware» також знає про це, але ми будемо не можемо розраховувати на те, що вони нададуть нам точну інформацію про те, що було скомпрометовано та що було взято з даних», — сказав Обрадович BIRN.
«Громадськість буде проінформована про розмір збитку, якщо вищезазначений звіт стане витоком або після закінчення встановленого законом терміну збереження секретності звіту», – додав Обрадович.
Міністерство державного управління повідомило BIRN, що звіт ФБР показав, які методи та шкідливі віруси використовували зловмисники, пояснивши, що вони також отримали індикатори компрометації, «які допомагають їм вживати адекватних заходів для посилення стійкості урядової інфраструктури та мережа державних органів».
Після кібератаки система захисту посилюється
Через два роки після кібератаки Міністерство державного управління стверджує, що завдяки системам «резервного копіювання» жодні дані не були знищені та скомпрометовані. В урядовому відомстві пояснили, що дані були зламані на окремих робочих станціях, а не на інформаційних системах.
На запитання, чому під час атаки не використовувався Disaster Recovery Site (DRS), який забезпечує безперебійне функціонування системи, у міністерстві відповіли, що система застосовна виключно для урядової інформаційно-комунікаційної інфраструктури. Сайт аварійного відновлення (DRS) — це резервний сайт, який бере на себе функціонування системи без втрати даних і дозволяє користувачам без затримок користуватися послугами інформаційної системи.
У міністерстві також розповіли, що до кінця 2024 року буде увімкнено доступність сервісу DRS в Інтернеті на випадок інцидентів.
У грудні 2022 року було сформовано новий Директорат інформаційної безпеки, який відповідає за захист державних систем шляхом моніторингу, запобігання та ліквідації наслідків кіберзагроз і атак. Згідно з чинною систематизацією, в Директораті заплановано 22 робочі місця, але чи всі посади укомплектовані, у міністерстві не відповіли.
Урядова група реагування на кіберінциденти (CIRT), яка була сформована в 2012 році, відповідає за дослідження, аналіз і реагування на кіберінциденти в мережі органів державного управління. Зараз у CIRT працює дев'ять співробітників.
У грудні 2022 року Уряд оголосив про створення Агентства з кібербезпеки, до завдання якого входить аналіз застосування нормативно-правових актів, стратегій і планів дій у сфері інформаційної безпеки та внесення пропозицій і рекомендацій щодо його вдосконалення.
Однак перша умова для створення Агентства ще не виконана, оскільки парламент Чорногорії не прийняв Закон про інформаційну безпеку, який визначає роботу Агентства.
Обрадович попереджає, що в Чорногорії низька усвідомлення важливості кібербезпеки в державному управлінні. Він нагадав офіційні дані, згідно з якими в державному управлінні працює понад 52.250 23 працівників, що становить XNUMX відсотки від загальної кількості працівників у державі.
«Більшість із них мають доступ як до комп’ютерних пристроїв, так і до самої інфраструктури. Знаючи, що людський фактор є найбільш сприйнятливим до маніпуляцій, ми приходимо до тривожного факту, що у нас є 52.250 XNUMX потенційних векторів атак на ІКТ-інфраструктуру держави, які це здається, про що ніхто активно не піклується", - стверджує Обрадович.
Ця стаття була розроблена в партнерстві з регіональною ініціативою Western Balkans Anti-Disinformation Hub, яку реалізує Metamorphosis Foundation за фінансової підтримки Міністерства закордонних справ Королівства Нідерландів. Зміст статті є відповідальністю ПАРТНЕР і не обов'язково відображає позицію партнерів проекту та донора.
Ця стаття була написана в партнерстві з регіональною ініціативою Western Balkans Anti-Disinformation Hub, яку реалізує Metamorphosis Foundation за фінансової підтримки Міністерства закордонних справ Королівства Нідерландів. Зміст статті є відповідальністю організації ПАРТНЕР і не обов'язково відображає погляди партнерів проекту або фінансистів.
Цю статтю було розроблено в партнерстві з регіональною ініціативою Західнобалканського центру боротьби з дезінформацією, яку реалізує Metamorphosis Foundation за фінансової підтримки Міністерства закордонних справ Королівства Нідерландів. Зміст статті є виключною відповідальністю ПАРТНЕР і не обов'язково відображає погляди партнерів і прихильників проекту.
Бонусне відео:
