Параграф22 Daily

Хакването на "Български пощи":

Мащабна кибератака с отложено действие

Ширят се опасенията, че освен пощите, кибератаката е "споходила" още НАП, НОИ и Висшия съдебен съвет, министерствата на правосъдието и на здравеопазването, няколко държавни агенции, сред които Държавна агенция по бежанците (ДАБ). Тази структура е особено чувствителна, защото през нея минават тонове документи, свързани с украинските бежанци - статут, помощи, настаняване, социално-битови потребности - работа, детски ясли, детски градини, училища, и т.н. Днес обаче в сайта на агенцията може да се види главно информацията, че "поради проблеми в мрежовата връзка е-адресите на ДАБ при Министерския съвет са временно недостъпни". 

Подозрение буди например факта, че някои е-услуги, предлагани от НОИ, на практика не действат. Това се отнася до е-справките достъпни с ЕГН и ПИК, отнасящи се до решения за отпускане на пенсии, получени такива, и различни добавки. Общото в тези случаи е, че справка не е възможна, тъй като системата уведомява за отчетена грешка при проверка на валидността на ЕГН и ПИК. Въпреки че те са си валидни.

Покрай промъкващите се данни за мащабна кибератака срещу българските институции, мълчанието на властите под предлог, че става дума за класифицирана информация, е плашещо. Стряскащо е и безсилието на службите, които би трябвало първи да реагират и да предприемат мерки за противодействие. Държавна агенция "Национална сигурност" е една от тях.

Шефът на ДАНС Пламен Тончев вече обясни по повод атаката срещу "Български пощи", че контраразузнаването е разполагало с информация за атаката

10-12 часа преди да бъде уведомено за нея от служители на пощите.

"От самите „Български пощи“ отказаха нашата помощ в началото с мотива, че те ще се справят сами с проблема“, уточни още Тончев.

Впоследствие усилията на ДАНС за противодействие на конкретния киберинцидент са били насочени основно към намаляване на негативния ефект за обществото и превенция развитието на негативни социални процеси, но не и на пряка интервенция срещу хакерите. Проблемът е, че атаката се е развивала цели 12 дни по-рано, без никоя българска служба да усети и да предприеме мерки за защита. Един от сървърите на "Български пощи" е бил атакуван още на 4 април и са инсталирани няколко инструмента, като най-вероятно е бил внедрен "троянски кон" за разгръщане на мащабна атака. Според неофициална информация, заразяването е станало чрез фишинг мейл от името на неистински частен съдебен изпълнител, който е бил отворен на служебен компютър от редови чиновник.

Разследването на случая е установило, че фишингът е пробил

операционната система на компютъра "Майкрософт ХР",

която е свалена от поддръжка и актуализация на антивирусните защити още през 2014 година. И по-конкретно - Microsoft не предоставя актуализации за Microsoft Security Essentials против злонамерен софтуер, а това понижава ефективността на защитата и повишава многократно рисковете от заразяване.

Тук е мястото да припомним, че според доклад от 2021 г. за състоянието на държавната администрация, в края на 2020 г. изпълнителната власт е разполагала със 138 257 персонални компютъра, от които 62 075 броя (т.е. почти половината) са били купени преди повече от 5 години, а само 23 368 компютъра са били сравнително нови - на възраст до 3 години.

При сървърите на администрацията, сред които и тези на "Български пощи", картината е подобна. Те са общо 5287, като половината от тях - 2695 броя - са пуснати в употреба преди повече от една петилетка.

В доклада прави впечатление и още нещо: въпреки че операционната система ХР на "Майкрософт" е свалена от поддръжка преди 8 години, в администрацията има

общо 9006 компютъра, работещи още с тази операционна система!

Оказва се, че от общо 5287 сървъра на 4811 от тях са били инсталирани антивирусни програми. При персоналните компютри такива софтуери са били инсталирани на 105 604 настолни устройства, при общо 138 257 за цялата държавна администрация.

За година и нещо дереджето в администрацията едва ли се е променило драстично. Не само за действащите все още стари лицензи, но и за изискванията например на Закона за достъп до пространствени данни (ЗДПД), който урежда изграждането, поддържането и използването на инфраструктура за пространствена информация.

В края на 2020 г. е установено, че само 2.57% от администрациите са изпълнили задълженията си по закона и имат информационна система, оперираща с пространствени данни, с включени функционални модули, които са елементи от националната инфраструктура за пространствена информация. А 68% от администрациите разполагат с план за възстановяване на данните, съгласно Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги.

И да се върнем към конкретния киберинцидент в "Български пощи". Целта на инсталирания зловреден софтуер е

криптиране на всички файлове в персоналния компютър

и "пускане" на криптовируса в цялата ведомствена мрежа.

На 5 април криптовирусът вече е преминал в избрани сървъри в информационния център на пощите и в работните станции на много пощенски клонове. Той разполага със специфични техники, които заобикалят и деактивират всеки антивирусен софтуер, ако има такъв, разбира се.

В кода на криптовируса има вградена логика, която го задейства по специфична команда. Тоест - криптираните вече файлове не мога да се употребяват без специфичен ключ, който се купува с криптовалута. 

До 15 април криптовирусът не е бил активиран. На 16 април обаче, след като е стартирала процедурата по изплащане на пенсии и надбавки, той е активиран и всички системи са поразени.

Логично е от локалната мрежа на "Български пощи" вирусът да се е прехвърлил и в

националната мрежа на държавната администрация,

която е част от Единната електронна съобщителна мрежа на държавната администрация. В края на 2020 г. 147 от всички администрации са били свързани с тази единна мрежа, а 436 - не са били свързани.

Не ни остава нищо друго, освен да хвърляме шарен боб кои от системите, свързани в единната мрежа са били поразени от въпросния криптовирус. Централната администрация обаче с голяма вероятност е сред засегнатите. И рано или късно ще изпищим на умряло...

Facebook logo
Бъдете с нас и във