В Украине хакеры начали массово взламывать компьютеры нотариусов, чтобы получить доступ к государственному реестру недвижимости. На данный момент хронически «заражена» почти тысяча компьютеров нотариусов, государственных исполнителей и других уполномоченных лиц.

Об этом UBR.ua рассказал начальник лаборатории компьютерной криминалистики CyberLab Сергей Прокопенко (эксперты компании участвуют в расследовании подобных дел).

Как атакуют нотариусов

Первые инциденты, которые были зафиксированы лабораторией, датируются еще ноябрем-декабрем 2014 года. Во всех случаях, по которым проводилось расследование, была использована одинаковая схема атаки на компьютеры нотариусов.

Первая фаза атаки включает рассылку на электронные адреса нотариусов «фишинговых» писем, содержащих вложенный файл с вредными функциями. При открытии этого файла происходит заражение компьютера программным обеспечением, а злоумышленник получает доступ к удаленному управлению и наблюдению, включая возможность записи с экрана, а также доступ к любым файлам.

На втором этапе хакер вручную проводит мониторинг действий нотариуса с целью проверки наличия на зараженном компьютере программ и учетных данных доступа к Госреестру.

В случае выявления такой информации проводится третья стадия атаки — похищение пароля и электронного цифрового ключа доступа. Для кражи логина и пароля используется кейлоггер (программа, которая регистрирует все нажатия на клавиатуру). Файл цифрового ключа воруют во время скрытого удаленного подключения, когда нотариус подключает носитель с ключом (обычно флешку) к компьютеру.

На четвертой стадии злоумышленник, используя похищенные учетные данные, осуществляет нелегальный доступ к Государственному реестру и вносит несанкционированные изменения от имени нотариуса. Корректировки сводятся к замене одного владельца того или иного имущества на другого. Так легко и изящно украинцев лишают их собственности.

«Зачастую, взлом происходит в нерабочее время, например, ночью, когда на рабочем месте никого нет, и оперативно выявить изменения сложно. В основном, мошенники нацеливаются на владельцев крупных компаний, предприятий и пр. Но также есть случаи атак и на физлиц, которым принадлежит дорогая недвижимость, в частности, квартиры», — рассказал UBR.ua старший партнер юридической компании «Кравец и партнеры» Ростислав Кравец.

Как правило, факт подмены замечает сам владелец недвижимости и приходит к нотариусам разбираться. Заканчивается все длительными судебными спорами, по которым подозреваемыми проходят порой и сами нотариусы.

В свою очередь, в Минюсте утверждают, что с их стороны все защищено и никаких взломов они не фиксировали. И обвиняют во всем нечестных на руки нотариусов.

«Реестр ни разу не был взломан. Он проходил стресс- тесты независимых компаний, и те подтвердили его защищенность. Периодически заявления о взломе делают недобросовестные регистраторы или нотариусы, которые или самостоятельно внесли в реестр неправдивую информацию и этим нарушили закон, или отдали свой ключ помощникам, что тоже недопустимо. А теперь они пытаются оправдать свои преступные действия техническим сбоем», — рассказала UBR.ua первый заместитель министра юстиции Наталья Севостьянова.

«Неведение» ведомства эксперты объясняют тем, что атака идет не конкретно на Минюст и не сами на базы Госреестра, а на компьютеры нотариусов. Ведь для получения доступа к реестру, хакеры выбирают наименьший путь сопротивления — похищение электронного ключа.

Маскируются под Минюст

При этом, сами нотариусы хоть и не исключают недобросовестности некоторых своих коллег, утверждают, что случаи атак настолько массовые, что без хакеров здесь явно не обошлось.

«Проникновение в реестр были зафиксированы нотариусами Херсона, Сум, Киева, Днепра, Житомира и пр. Речь идет о десятках случаев взломов в месяц, а несанкционированных нотариальных действий так и вовсе случаются сотни», — рассказали UBR.ua в одном из областных отделений нотариальной палаты Украины.

При этом, на хакерских форумах, услуги по «решению вопросов» связанных с судами, регистрационной и исполнительной службами, нотариусами, БТИ и пр., предлагают по цене от $ 300, что, в общем-то недорого, учитывая объекты атак.

Анализ инцидентов показывает, что злоумышленники не ставят перед собой цель взломать компьютер конкретного нотариуса, а пытаются заразить как можно больше компьютеров.

«В среднем каждая обнаруженная экспертами лаборатории рассылка включает не менее 5 адресатов. В последнее время рассылки повторяются чаще чем раз в две недели», — отметил Сергей Прокопенко.

При этом, активно используются методы социальной инженерии. Так, в качестве типовых тем писем используются такие как «Жалоба на нотариуса», «Решение суда» и т.п. В последних случаях в качестве отправителя указывается Министерство юстиции Украины с подделкой адреса (письма приходят с адресов типа @minjust.gov.ua) и темой «Срочно к исполнению». Это позволяет мошенникам заражать за одну рассылку в среднем 36% адресатов.

Обходят защиту

Первые инциденты происходили с использованием вредоносных программ, код которых через некоторое время попадал в поле зрения разработчиков антивирусного программного обеспечения и в последствии антивирусы могли его удалять. Но, начиная с прошлого лета, злоумышленники начали на всех этапах атаки использовать модифицированные версии легальных программ, которые не определяются антивирусами, как вредные. А именно:

• Для заражения используются документы Word и Excel, которые при открытии скачивают с интернета программу, скрыто устанавливающую программу удаленного доступа
• Для удаленного доступа используется программа-аналог распространенного программного обеспечения Teamviewer;
• Для похищения паролей задействуют модифицированную версию распространенной программы для переключения раскладки клавиатуры.

Предлагают защитится за $ 150

Использование социальной инженерии и легальных программ позволяет злоумышленникам легко обходить защиту (антивирус, файрвол), установленный на компьютерах нотариусов.

Что бы как-то защитится от хакерских атак, эксперты по компьютерной безопасности разработали специальную программу, которая сможет выявлять зараженные компьютеры и блокировать им доступ к реестру.

Система умеет непрерывно анализировать трафик, запущенные программы и автоматически выявлять, и блокировать трояны. А если даже вредоносная программа и захватила управление, то разработанная система перекроет связь с сервером и заблокирует работу зараженного компьютера.

«Мы назвали программу «ИнфоОбериг». Ее цена будет зависеть от масштабов внедрения. То есть, если за это возьмется Минюст, то будет дешевле. Если подключать каждый компьютер нотариуса отдельно, то конечно дороже. В любом случае, цена не должна превысить $ 150 в год», — говорит Сергей Прокопенко.

Денис Вергун, UBR

Адвокатская компания Кравец и Партнеры