Достъпът до 14 сайта на български институции е блокиран за часове. Отговорност поема прокремълска хакерска група. Макар че кибератаката не нанася щети, експерти предупреждават, че тя може да е била просто тест преди по-сериозен опит, защото поводи не липсват.
Броени седмици след началото на непредизвиканата агресия на Москва срещу Киев, в страните, подкрепящи Украйна, беше регистрирано увеличение на кибератаките, извършвани от руски хакерски групи. България не беше изключение от тази тенденция.
Само през последния уикенд хакери, известни с прекремълските си убеждения, поеха отговорност за временното блокиране на 14 държавни и няколко други сайтове в България. Сред тях имаше и такива на банки и летища. Атаката не доведе до кражба на информация, но специалисти по киберсигурност предупреждават, че това вероятно е било само тест, предшестващ по-сериозен удар.
Причината е, че новият български парламент, който предстои да се конституира в сряда, се очаква бързо да отвори повторно темата за евентуална военна помощ за Украйна. И за разлика от последния път, сега предварителните заявки от партиите показват, че е възможно да бъде взето решение за предоставяне на оръжие на Киев.
Какво е известно досега
Само ден след кибератаката срещу сайтовете на 14 министерства, агенции и други държавни институции, прокуратурата обяви, че е установила самоличността на нейния автор. Според информацията на разследващите става въпрос за хакер от руския промишлен град Магнитогорск, разположен в подножието на Южен Урал.
Атаката обаче не е имала за цел добиването на ключова информация, а е била от вида DDoS - "отказ от услуга" (от англ. - a distributed denial-of-service attack). Това представлява генериране на засилен фалшив трафик към определени сайтове, за да се ограничи достъпа на реални потребители до тях.
Руската хакерска група Killnet, известна с прокремълските си позиции, пое отговорност за кибератаката в официалния си канал в Телеграм. Като повод тя посочи наличието на българско оръжие в Украйна.
В понеделник Софийската градска прокуратура (СГП) уточни, че работи по установяването на общо 150-има заподозрени по случая. Говорителката ѝ Десислава Петрова добави, че разследващите ще поискат от руските власти да екстрадират вече установения хакер от Магнитогорск, но призна, че е по-вероятно това да не се случи. При такъв развой СГП ще води задочно дело срещу него.
Служебният военен министър Димитър Стоянов директно обвърза кибератаката с твърденията на Кремъл, че България има общо с взривяването на Кримския мост седмица по-рано.
"Най-вероятно ще има последваща атака"
Според бившия министър по електронно управление в кабинета "Петков" Божидар Божанов характерът на атаката и обяснението на Killnet, че причината за нея е българското оръжие в Украйна, дават основание да се смята, че тя е била "по-скоро тест". Тест, който да демонстрира как действат българските власти в подобна ситуация.
За това говори и моментът на извършването на DDoS атаката - в сутрешните часове в събота, когато е ясно, че трафикът към институционални сайтове не е висок и блокирането им няма да предизвика особен смут.
"Най-вероятно ще има последващата атака и предвид това, че самите те обявиха, че е свързана с оръжие, очаквам, когато Народното събрание стигне до момента да гласува решение за предоставяне на оръжие [на Украйна], да последва втори опит", коментира Божанов пред Свободна Европа.
На същото мнение е и преподавателят по киберсигурност Ясен Танев, според когото в случая става въпрос за малка атака, резултат от киберпрестъпление.
"Това според мен е чисто киберпрестъпление от престъпна група хора, които са наели евтин ресурс. Покрай това, че атакуваха в събота сутринта, когато всеки спи, а не посещава сайтовете на президентството и другите институции, те по-скоро тестваха как ще реагираме", каза Танев пред бТВ.
Подобно на Божанов, той очаква в следващите дни по-сериозни хакерски удари срещу България: "Имайте предвид, че на 19 октомври е откриването на парламента, така че, ако някой ни е тествал през уикенда, може да реши да изпълни вече истински [значима атака] на 19-ти, защото това е важна дата за българската политика."
Блокиране на IP адреси
Бившият министър по електронното управление посочи още, че последният случай може да се използва от службите за превантивно блокиране на всички IP адреси, участвали в генерирането на фалшив трафик на държавните сайтове в събота.
Тази възможност е разписана в Закона за киберсигурност и през пролетта вече е била използвана веднъж за блокирането на около 45 000 IP адреса от Русия и Беларус, участвали в предишни кибератаки срещу България.
"При тази атака могат да се съберат още доста адреси и всички тези адреси могат да се изпратят на ГДБОП, за да поиска блокирането им", каза Божанов, допълвайки, че "това няма да реши генерално проблемите с киберсигурността, но ще е полезно".
По думите му в момента българската администрация е доста по-добре подготвена за отблъскване на DDoS атаки, отпреди година, но при по-сложни атаки, защитите едва ли биха издържали.
Бившият служебен министър на отбраната Тодор Тагарев също определи кибератаката от уикенда като "много дребна", но според него обстоятелствата, при която се случва тя, изискват от България реакция на най-високо дипломатическо ниво.
"Като насложим тази атака с обвиненията, които лично президентът Путин отправи към България за участие в обозначената от Русия като "терористичен акт" атака на Кримския мост, според мен на много високо равнище - на ниво посланик, трябва да се потърси информация и съдействие от руските власти", каза Тагарев пред бТВ.
Коя е хакерската група Killnet
Поелата отговорност за кибератаката руска хакерска група Killnet е известна с прокремълската си реторика. Според международни киберспециалисти обаче тя няма способностите да извършва по-сериозни набези, подобно на свързваните с руското военно разузнаване групи като Fancy Bear и Sandworm.
Последните две добиха световна популярност покрай хакването на Националния комитет на Демократическата партия на САЩ и пускането в действие на програмата за онлайн рекет NotPetya.
За разлика от от тях Killnet се ограничават до DDoS атаки и символни националистически послания в защита на режима в Москва. Те стояха зад атаката срещу организаторите на европейския музикален конкурс "Евровизия" през май, когато Русия беше дисквалифицирана.
Същата група предприе и "най-мащабните кибератаки от 2007 г. насам" срещу държавни институции и компании в Естония през август. Причината за удара тогава беше премахването на паметник със съветски танк в град Нарва.
Killnet e поемала отговорност и за атаки в страни като Норвегия, Латвия, Литва, Чехия, Молдова, Румъния и дори САЩ и Япония.