На порозі кібервійни: як M.E.Doc монополізував ринок бухгалтерської звітності

0














На думку експертів ринку, ймовірність другої хвилі вірусу дуже велика. З наслідками кібератаки 27 червня, коли вірус проник у сотні тисяч комп’ютерів по всій країні через програму бухгалтерського обліку M.E.Doc багато компанії розбираються досі. Разом з тим велика ймовірність, що ця атака була тільки розвідкою, а справжня кібервійна попереду.

Розробка вірусу коштувала мінімум $300 тисяч

Експерти в один голос попереджають про наслідки наступної вірусної атаки. Технічний директор «Майкрософт-Україна» Михайло Шмельов ще 30 червня заявив, що інфікування відбулося більше 200 днів тому і ті, хто створював цей вірус, навряд чи обмежаться лише першою хвилею атаки. Глава профільного комітету з інформатизації і зв’язку ВР України, депутат Олександр Данченко висловив думку, що це — лише перші дитячі прояви того вірусу, закладеного в оновлення «Медку» і спрямований конкретно проти держави України. В інші країни, на його думку, долетіли тільки «бризки» цієї вірусного штурму. Експертна оцінка вартості розробки і реалізації такої атаки від 300 тисяч до декількох мільйонів доларів.

На сьогоднішній день ніхто не знає, які саме віруси були поширені через програмне забезпечення M.E.Doc і скільки з них знаходиться в «сплячому» режимі, чекаючи своєї години.

Експерти ESET (однієї з найбільш авторитетних організацій з аналізу загроз від шкідливих програм. — Авт.) у своєму докладному звіті від 4 липня 2017 року зафіксували наступні висновки: «Як показує наш аналіз, це ретельно спланована і добре виконана операція. Ми припускаємо, що зловмисники мали доступ до вихідного коду програми M.E.Doc. У них був час вивчити код та включити дуже скритний і хитрий бекдор».

«Діряве» програмне забезпечення

Ключових момент цих висновків — припущення про те, що такий бекдор (тобто «задні двері», яка на сленгу програмістів називається «діркою») могли зробити тільки фахівці, що мають доступ до вихідних текстів програм «Медку». Тобто діяли не кваплячись і зсередини. Дане припущення повинно стати дуже тривожним сигналом для всіх спецслужб, які відповідають за кібербезпека України. Справа не тільки в тому, що інформація зникла у сотень тисяч користувачів-бухгалтерів. І навіть не в тому, що зупинилися аеропорт «Бориспіль», «Нова пошта» і безліч банків. Виявляється, M.E.Doc (і афілійований з ним ТОВ «Інтелект-сервіс») контролюють багато принципово важливі сервіси всередині самого ГФС.

По-перше, програмне забезпечення для Реєстру податкових накладних — справа рук саме цих «солодких» компаній. Кількість зловживань і крадіжок за рахунок маніпулювання з Реєстром податкових накладних завдало державі багатомільйонних збитків, і «діряве» програмне забезпечення є ідеальним інструментом для таких маніпуляцій, оскільки дозволяє приховати сліди втручання зловмисників.

По-друге, програмне забезпечення для приймання звітних документів від платників податків, яке фахівці називають «шлюз», розроблено компанії M.E.Doc. І, як показує практика, повністю контролюється фахівцями цієї компанії. Точніше, одним фахівцем .Це єдиний експерт, який має доступ до програмного забезпечення шлюзу прийому звітності і може змінити його роботу в будь-яку секунду. Він же може зупинити роботу ресурсу, заблокувати роботу всіх операторів здачі звітності, крім самого M.E.Doc, або внести зміни в процеси обробки звітності і не повідомити про них нікому, природно, крім своєї власної програми M.E.Doc.

Три дні простою

Така монополізація доступу і управління роботою програмного забезпечення прийому звітності дуже небезпечна для роботи ДФС. Наприклад, починаючи з 19 червня, прийом звітності в ГФС повністю зупинився і не запускався кілька днів. За три дні, з 19 по 21 червня, ситуація в ДФС дійшла до «точки кипіння», а нерви бухгалтерів в черговий раз були на межі. Але ніхто в структурі ГФС не зміг визначити причину, ні виправити ситуацію.

Мабуть, ні в документації, ні вихідних текстів, ні авторських прав на так званий «шлюз» у ГФС немає. Інакше не можна пояснити той факт, що працездатність шлюзу була відновлена тільки після приїзду фахівця з Медку, який за кілька годин усунув поломку. Хоча причина відмови програмного забезпечення шлюзу так і не була встановлена.

Не можна не відзначити дивний збіг триденного простою шлюзу з ще однією подією — відстороненням від посади керівника IT-департаменту ДФС Дмитра Лук’янова. Цей фахівець по «захисту інформації», який раніше працював у Нацбанку, підтримує давні зв’язки з Сергієм Линником — власником ТОВ «Інтелект-Сервіс».

Лук’янов та Линник неодноразово в парі виступали на різних експертних столах і ходили в державні органи — наприклад, на наради до голови комітету Верховної Ради України з питань податкової та митної політики ВР Ніні Южаниной. При цьому провідну роль відігравав Линник, а Лук’янов його підтримував.

Монополія в бухгалтерській звітності

Зупинка роботи шлюзу як раз в той момент, коли Дмитро Лук’янов був відсторонений від посади, але не звільнений з ДФС, — хороший привід довести цінність відстороненого Лук’янова, не підставляючи його під удар. Зрештою, відновлення лояльного Лук’янова на ключовій посаді керівника IT-департаменту ГФС — це самий надійний спосіб збереження монопольного управління шлюзом з боку «Інтелект-сервіс».

Насправді цей інцидент з триденною зупинкою шлюзу показав: в існуючій на сьогоднішній день схемі роботи «Інтелект-сервіс» може диктувати свої правила і ГФС, і платникам податків. Монопольне право управління єдиним шлюзом прийому звітності дає широкі можливості керування ситуацією в цілому.

І якщо ті, хто стоїть за впровадженням вірусів в програмне забезпечення M.E.Doc справді мають доступ до вихідних текстів цього продукту, ступінь шкодочинності від використання такого поширеного софта може бути колосальною.

На першому етапі були заражені програми кінцевих користувачів. На другому — зловмисники можуть націлитися на програмне забезпечення, встановлене в самій ГФС.

Виходячи з вищесказаного, можливість «відкрити щілину» в програмному забезпеченні всередині ГФС через програмне забезпечення шлюзу — найпростіша двоходівка спецслужб ворога. А потім хакери увійдуть до бази даних ГФС, потім у всі пов’язані з ДФС бази даних центральних органів влади і отримають реальні важелі управління ситуацією — від підміни даних до повного їх знищення.

Як «Медок» тиснув конкурентів

Для цього сценарію хакери і спецслужби ворога повинні отримати максимум інформації про пристрої шлюзу і способи взаємодії з ним. Враховуючи той факт, що програмне забезпечення M.E.Doc, до якого відноситься і шлюз всередині ГФС, побудовані на примітивних інструментах, а захист навіть власних серверів «Інтелект-сервіс» абсолютно дірява, такий варіант розвитку подій більше, ніж імовірний.

Необхідно враховувати ще один аспект, пов’язаний із конкурентною боротьбою за ринок здачі звітності. Досі «Медок» тиснув всіх конкурентів саме за рахунок монопольної можливості впливати на шлюз прийому звітності всередині ГФС. Будь-який з операторів здачі звітності (Соната, I-Fin, Е-док та інші) можуть навести величезну кількість прикладів, коли звіти їх клієнтів гальмувалися на рівні шлюзу, в той час, як звіти клієнтів «Медку» шлюзом успішно і вчасно приймалися.

Півроку тому ситуація змінилася кардинальним чином: в Податковий кодекс були внесені зміни, які визначили появу електронного кабінету платника податків — хмарного сервісу, який може стати прямим і безкоштовним конкурентом «Медку».

«Медок» проти створення кабінету платника податків

Для «Медку» це стало суттєвою загрозою. Тому «Інтелект-сервіс» докладає масу зусиль, щоб не допустити створення сучасного кабінету платника податків і дискредитувати всіх тих, хто над ним працює в ГФС і за її межами. У такій ситуації поширення вірусів з електронного кабінету ГФС — це дуже ефективний метод конкурентної боротьби, який може стати другою хвилею вірусної атаки. Цей варіант розвитку подій цілком можливий, оскільки електронний кабінет платника податків використовує той же шлюз, який повністю контролюється «Інтелект-сервіс».

Тому ситуація вимагає екстрених і висококваліфікованих дій з боку спецслужб і кіберполіції в кооперації з провідними вітчизняними і світовими компаніями у сфері кіберзахисту. Наша держава не може бути заручником фінансових інтересів однієї компанії і низької кваліфікації її розробників, що створюють незахищене програмне забезпечення.

Зрештою, це питання національної безпеки, який має розглядатися на рівні Ради Національної безпеки.

Источник

Натисніть на стрілку що б перейти до наступної сторінки

Оставить комментарий