ЖитлоНюс

В Україні хакери почали масово зламувати комп'ютери нотаріусів, щоб отримати доступ до державного реєстру нерухомості. На даний момент хронічно "заражена" майже тисяча комп'ютерів нотаріусів, державних виконавців та інших уповноважених осіб. Про це розповів начальник лабораторії комп'ютерної криміналістики CyberLab Сергій Прокопенко (експерти компанії беруть участь в розслідуванні подібних справ).

Як атакують нотаріусів

Перші інциденти, які були зафіксовані лабораторією, датуються ще листопадом-груднем 2014 року. У всіх випадках, за якими проводилося розслідування, була використана однакова схема атаки на комп'ютери нотаріусів.

Перша фаза атаки включає розсилку на електронні адреси нотаріусів "фішингових" листів, що містять вкладений файл з шкідливими функціями. При відкритті цього файлу відбувається зараження комп'ютера програмним забезпеченням, а зловмисник отримує доступ до віддаленого управління і спостереження, включаючи можливість запису з екрану, а також доступ до будь-яких файлів.

На другому етапі хакер вручну проводить моніторинг дій нотаріуса з метою перевірки наявності на зараженому комп'ютері програм і облікових даних доступу до Держреєстру.

У разі виявлення такої інформації проводиться третя стадія атаки - викрадення пароля і електронного цифрового ключа доступу. Для крадіжки логіна і пароля використовується кейлоггер (програма, яка реєструє всі натискання на клавіатуру). Файл цифрового ключа крадуть під час прихованого віддаленого підключення, коли нотаріус підключає носій з ключем (зазвичай флешку) до комп'ютера.

На четвертій стадії зловмисник, використовуючи викрадені облікові дані, здійснює нелегальний доступ до Державного реєстру та вносить несанкціоновані зміни від імені нотаріуса. Коригування зводяться до заміни одного власника того чи іншого майна на іншого. Так легко і витончено українців позбавляють їхньої власності.

"Найчастіше, злом відбувається в неробочий час, наприклад, вночі, коли на робочому місці нікого немає, і оперативно виявити зміни складно. В основному, шахраї націлюються на власників великих компаній, підприємств тощо. Але також є випадки атак і на фізосіб, яким належить дорога нерухомість, зокрема, квартири", - розповів старший партнер юридичної компанії "Кравець і партнери" Ростислав Кравець.

Як правило, факт підміни зауважує сам власник нерухомості і приходить до нотаріусів розбиратися. Закінчується все тривалими судовими суперечками, за якими підозрюваними проходять часом і самі нотаріуси.

У свою чергу, в Мін'юсті стверджують, що з їхнього боку все захищено і ніяких зломів вони не фіксували. І звинувачують у всьому нечесних на руки нотаріусів.

"Реєстр жодного разу не був зламаний. Він проходив стрес-тести незалежних компаній, і ті підтвердили його захищеність. Періодично заяви про злом роблять недобросовісні реєстратори або нотаріуси, які або самостійно внесли до реєстру неправдиву інформацію і цим порушили закон, або віддали свій ключ помічникам, що теж неприпустимо. А тепер вони намагаються виправдати свої злочинні дії технічним збоєм", - розповіла перший заступник міністра юстиції Наталія Севостьянова.

"Незнання" відомства експерти пояснюють тим, що атака йде не конкретно на Мін'юст і не самі на бази Держреєстру, а на комп'ютери нотаріусів. Адже для отримання доступу до реєстру, хакери вибирають найменший шлях опору - викрадення електронного ключа.

Маскуються під Мін'юст

При цьому, самі нотаріуси хоч і не виключають недобросовісності деяких своїх колег, стверджують, що випадки атак настільки масові, що без хакерів тут явно не обійшлося.

"Проникнення в реєстр були зафіксовані нотаріусами Херсона, Сум, Києва, Дніпра, Житомира та ін. Мова йде про десятки випадків зломів в місяць, а несанкціонованих нотаріальних дій так і зовсім трапляються сотні", - розповіли в одному з обласних відділень нотаріальної палати України.

При цьому, на хакерських форумах, послуги з "вирішення питань" пов'язаних з судами, реєстраційної та виконавчої службами, нотаріусами, БТІ та ін., Пропонують за ціною від $ 300, що, в взагалі-то недорого, враховуючи об'єкти атак.

Аналіз інцидентів показує, що зловмисники не ставлять перед собою мету зламати комп'ютер конкретного нотаріуса, а намагаються заразити якомога більше комп'ютерів.

"В середньому кожна виявлена експертами лабораторії розсилка включає не менше 5 адресатів. Останнім часом розсилки повторюються частіше ніж раз на два тижні", - зазначив Сергій Прокопенко.

При цьому, активно використовуються методи соціальної інженерії. Так, в якості типових тем листів використовуються такі як "Скарга на нотаріуса", "Рішення суду" і т.п. В останніх випадках в якості відправника вказується Міністерство юстиції України з підробкою адреси (листи приходять з адрес типу @minjust.gov.ua) і темою "Терміново до виконання". Це дозволяє шахраям заражати за одну розсилку в середньому 36% адресатів.

Обходять захист

Перші інциденти відбувалися з використанням шкідливих програм, код яких через деякий час потрапляв в поле зору розробників антивірусного програмного забезпечення і надалі антивіруси могли його видаляти. Але, починаючи з минулого літа, зловмисники почали на всіх етапах атаки використовувати модифіковані версії легальних програм, які не визначаються антивірусами, як шкідливі. А саме:

• для зараження використовуються документи Word і Excel, які при відкритті скачують з інтернету програму, яка приховано встановлює програму віддаленого доступу;
• для віддаленого доступу використовується програма-аналог поширеного програмного забезпечення Teamviewer;
• для викрадення паролів задіють модифіковану версію поширеною програми для перемикання розкладки клавіатури.
• пропонують захиститься за $ 150;
• використання соціальної інженерії і легальних програм дозволяє зловмисникам легко обходити захист (антивірус, файрвол), встановлений на комп'ютерах нотаріусів.

Щоб якось захиститися від хакерських атак, експерти з комп'ютерної безпеки розробили спеціальну програму, яка зможе виявляти заражені комп'ютери і блокувати їм доступ до реєстру.

Система вміє безперервно аналізувати трафік, запущені програми і автоматично виявляти, і блокувати трояни. А якщо навіть шкідлива програма і захопила керування, то розроблена система перекриє зв'язок з сервером і заблокує роботу зараженого комп'ютера.

"Ми назвали програму "ІнфоОберіг". Її ціна буде залежати від масштабів впровадження. Тобто, якщо за це візьметься Мін'юст, то буде дешевше. Якщо підключати кожен комп'ютер нотаріуса окремо, то звичайно дорожче. У будь-якому випадку, ціна не повинна перевищити $ 150 в рік", - говорить Сергій Прокопенко.