10 апреля таможня России оказалась парализована – тысячи грузов застряли на границе, а страна минимум на сутки лишилась импорта. Сообщается, что это самый крупный сбой в системе Федеральной таможенной службы за всю её историю. Причина: хакерская атака на внутреннюю систему. Ответственность за этот цифровой теракт взяла на себя проукраинская хакерская группировка Twelve. Как такое стало возможным и чем чревато в дальнейшем?
Самый масштабный сбой
Коллапс начался 10 апреля в 6 утра. Компании, занимающиеся таможенным оформлением – так называемые участники внешнеэкономической деятельности (ВЭД), – начали бить тревогу. Грузы просто невозможно было задекларировать – декларации повисали в системе, а таможня их "не видела". К 11 утра в ФТС решили, что пора дать ситуации какое-то объяснение, и дали его:
Сегодня с 06:00 в работе единой информационной системы таможенных органов фиксируются сбои, совершение таможенных операций в ряде случаев затруднено. По предварительной информации, данная ситуация вызвана внешним воздействием на ИТ-ресурсы ФТС России. В настоящее время специалисты, в том числе правоохранительного блока, проводят необходимые мероприятия по устранению сбоев,
– говорилось в официальном сообщении ведомства.
О масштабах сбоя можно судить по последующим сообщениям ФТС о частичном восстановлении работы информационной системы таможни. Так, оформление деклараций началось худо-бедно спустя целые сутки, но документы всё равно по большей части зависали. Спустя ещё сутки, 12 апреля, ФТС стала сообщать сначала о частичном восстановлении работы таможенных органов на Дальнем Востоке, спустя час – то же самое про юг России и Северный Кавказ, ещё спустя час – про Урал и Сибирь, затем – северо-запад, Приволжье и Центральная Россия.
Из этого следует главное – сбой коснулся абсолютно всех.
Масштабы – вообще вся Россия. Не прошло не то, что мы подавали, но вообще всё и везде, вся таможня. У нас все фуры встряли на день-два, то есть это тотальная, глобальная проблема. Так мощно ещё не было никогда,
– рассказал Царьграду менеджер одной из компаний-участников ВЭД Антон.
Он пояснил, что нынешний сбой был не таким, как те, что случались раньше. По словам менеджера, участники ВЭД подают декларации не напрямую в таможню, а через сервера компаний которые фактически выполняют функции провайдера. Сейчас же декларации десятками тысяч зависли уже после этих компаний на этапе, когда они должны были попасть на сервера таможенных органов.
По состоянию на утро 13 апреля, по словам Антона, часть деклараций всё ещё висели без просмотра их таможней. Выглядело это так:
Выделено присвоение документу статуса. Видно, что после первоначального присвоения кода конкретного таможенного поста больше ничего не происходит. Просто пустота.
"Коммерсантъ" сообщил, что ФТС не давала оформить все международные отправления, а позже проблемы остались только с импортом. Но остались. И, судя по всему, таможню будет лихорадить ещё в течение нескольких дней.
Мы позвонили в поддержку одной из таких компаний под видом клиентов, намеревающихся подать декларацию. Там не смогли прояснить ситуацию.
Отправки есть, но с некоторыми задержками, обмен идёт. Дело в том, что это зависит от ФТС, у нас всё хорошо работает. Очень трудно сказать. Вчера всё было в стопе, какие-то отдельные декларации проходили. Мы знаем, что частично к ним доходит, получаем ответы,
– сказали в поддержке.
"Мы против войны"
ФТС достаточно оперативно сообщила, что стала жертвой кибератаки. Вечером 10 апреля ответственность за этот цифровой теракт взяла на себя хакерская группировка под названием Twelve.
Мы против войны, агрессивной и ничем не спровоцированной! Кроме военного вторжения в мирную страну, Россия атакует инфраструктуру по всему миру. А как известно, на любое действие есть противодействие. Наш проект – это ответ мира на российские кибератаки! Приятно начинать знакомство, когда Федеральная таможенная служба РФ "прикурила", но не привычным для них способом. Поделимся с вами некоторыми документами, которые были детально изучены перед работой с сетью ФТС. В результате успех!
– говорится в сообщении телеграм-канала группировки, где также выложены различные документы ведомства.
Вероятно, на части заражённых Twelve компьютеров появилось изображение логотипа группировки. Хакеры также опубликовали документы, касающиеся начальника Главного управления информационных технологий ФТС России генерал-лейтенанта Владимира Скибы, указав на большие траты на "техническое таможенное управление".
Кроме прочего, есть информация, что за группировкой Twelve стоят спецслужбы Великобритании. А основной целью атаки якобы было показать Китаю и другим торговым партнёрам России, что наша страна не в состоянии защитить свои каналы поставок.
О самой хакерской группировке с таким названием информации нигде нет, да и канал в мессенджере Telegram у нее появился ровно в день совершения атаки. Не исключено, что под этой вывеской могли выступить уже атаковавшие Россию украинские хакеры из других групп.
Слишком много западного
Но для нас самое интересное в другом. Сообщается, что для взлома системы ФТС хакеры использовали так называемую "уязвимость нулевого дня", которую также называют "бэкдорами" – ошибками, намеренно встроенными разработчиками в программное обеспечение. Уязвимость активируется при помощи вредоносного файла с кодом – так называемого "эксплойта". И конечно, хакеры широко используют арсенал таких уязвимостей, запускаемых в продуктах Microsoft, Google, Apple и так далее. Словом, если пользуешься, например, Windows или продуктами от Microsoft Office – будь готов к таким атакам.
ФТС относится к объектам критической информационной инфраструктуры (КИИ), которые согласно Указу Президента России Владимира Путина с 1 января 2025 года должны отказаться от использования зарубежного ПО. И ФТС пока, конечно, от него не отказалась, как и от "железа" – процессоров и систем хранения данных. А следовало бы.
Так, ещё в 2021 году ведомство размещало электронный аукцион на оснащение своего главного Центра обработки данных в Твери за более чем 3,2 млрд рублей. Из техзадания в комплекте документов следует, что ФТС намерена закупить большое число модулей обработки данных для Windows. Для ЦОДа также закупается оборудование и системы хранения данных Hewlett-Packard, IBM, Hitachi, Atos, Yadro и многих других.
Также из документа следует, что программное обеспечение резервного копирования должно интегрироваться с Oracle Database и с Microsoft Windows Server, а также со средой виртуализации VMware. Словом, сервера ФТС до сих пор управляются Windows Server, да и оборудования западного – навалом. А августе 2022 года замглавы ведомства Денис Терещенко дал интервью, в котором признал:
Особого внимания требует задача перехода на отечественную платформу доменной структуры Единой службы каталогов ЕАИС ТО, подразумевающей не просто замену софта, а перестраивание модели функционирования ЕАИС ТО, замещение сервисов, в том числе инфраструктурных. Предстоит выполнить большой объём работ по замене операционных систем более чем на 6,5 тыс. серверах, которые в настоящее время обеспечивают функционирование ЕАИС ТО.
Наконец, известно, что "эксплойты" для поражения целых информационных систем крупных компаний и корпораций нередко "прилетают" по электронной почте. И тут у ФТС тоже есть трудности – её почтовая система работает на Microsoft Exchange Server 2007 Enterprise Edition. Сервер Microsoft Exchange полностью интегрируется с операционной системой Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008 Enterprise Edition и системой сетевого каталога Microsoft Active Directory.
Словом, всё понятно.
Что с того?
Самое главное – перед нами первый крупный случай кибератаки вражеских хакеров на критическую инфраструктуру России. И это – важно. Теперь не остаётся сомнений в том, что проукраинские хакеры взломали сервера ФТС при помощи "бэкдоров" в американском софте. Да и не секрет, что в том же даркнете есть множество готовых решений для такого взлома под Windows и другие западные продукты – покупай и запускай.
Но отвратителен не столько сам способ проникновения, сколько его значение. На сутки повалить всю таможню такого государства, как Россия, создать коллапс на границах, причинить ущерб в сотни миллионов рублей, оставить страну на сутки без импорта. Шутка ли? А оказывается, сделать это совсем несложно.
Возникает резонный вопрос к чиновникам, правительству, самому ФТС: не пришло ли время осознать, что против нас ведётся жестокая кибервойна? Используя западные продукты, мы помогаем противнику нас одолеть. Ведь самое смешное в том, что по большинству продуктов у России есть аналоги – и операционные системы, и офисные, почтовые продукты.
Ещё раз повторим – ФТС относится к объектам критической информационной инфраструктуры России. Она должна не иметь ровно ничего, ни капли иностранного, иначе мы будем сталкиваться с угрозами национальной безопасности, последствия которых мы ещё даже не можем осознать в полной мере. А особенно опасно сталкиваться с этим прямо сейчас.