Правительство Кении уже почти неделю борется с масштабной кибератакой, которая затронула службы ключевой правительственной онлайн-платформы.
Атака также затронула некоторые частные компании, хотя масштабы еще не ясны.
До сих пор остаются вопросы, кто за этим стоял и каковы были мотивы.
Что произошло?
Правительство подтвердило кибератаку на портал eCitizen, который использовался населением для доступа к более чем 5000 государственных услуг.
Это произошло после того, как люди в течение нескольких дней жаловались на трудности с доступом к услугам на портале, в том числе:
- Заявки на паспорт и обновление
- Оформление электронных виз для иностранцев, посещающих страну
- Выдача водительских прав, удостоверений личности и национальных медицинских карт
Правительство было вынуждено обещать визы по прибытии для посетителей, которые имели право на получение электронной визы, из-за проблем с системой eCitizen.
Были также сбои в системе бронирования поездов и оплаты электроэнергии.
Также пострадали банковские услуги с мобильными деньгами, и люди, полагающиеся на популярный сервис мобильных денег M-Pesa для совершения платежей в магазинах, общественном транспорте, отелях и других платформах, также испытывали трудности.
Safaricom, которая управляет сервисом, еще не дала официальных комментариев, и неясно, пострадала ли компания от взлома.
Каково влияние?
Правительство подталкивало людей к использованию государственных онлайн-услуг, и это, в сочетании с широким распространением платежей с помощью мобильных денег, означало, что многие кенийцы ощутили на себе воздействие атаки.
Около 76% кенийцев используют мобильные деньги, а 67% пользуются мобильным интернетом.
Подтверждая атаку, министр информации, связи и цифровой экономики Элиуд Овало подчеркнул, что никакие данные не были доступны или потеряны, хотя хакеры, стоящие за атакой, утверждали, что украли паспортные данные.
Высокопоставленные чиновники министерства в пятницу провели встречу с представителями частного сектора, чтобы обсудить вопросы кибербезопасности, хотя неясно, было ли это вызвано атакой или было запланировано заранее.
Правительство заявляет, что ему удалось заблокировать источник атаки, хотя периодические перебои продолжают влиять на нормальную скорость и доступ к услугам на онлайн-платформе.
Кто стоял за нападением?
Ответственность за произошедшее взяла на себя группа, называющая себя Anonymous Sudana.
Он позиционирует себя как группу суданских кибервоинов и поклялся атаковать любого, кто попытается вмешаться во внутренние дела Судана, но считается, что он связан с россией.
Группа внешне поддерживает россию и стала филиалом пророссийской хакерской группировки Killnet. Он отрицает наличие связей с известным международным коллективом хактивистов Anonymous.
Анонимный Судан появился в январе этого года и стал чрезвычайно активным, проводя регулярные атаки, которые можно классифицировать как разрушительные, но не изощренные.
Группа в основном размещала свои сообщения на канале Telegram, где в воскресенье было опубликовано предупреждение о готовящейся атаке на кенийские системы.
В нем говорится, что нападение на страну произошло потому, что «Кения пыталась вмешиваться в суданские дела и публиковала заявления, ставящие под сомнение суверенитет нашего правительства».
Правительство Судана неоднократно отвергало попытки президента Кении Уильяма Руто выступить посредником в продолжающемся конфликте между суданскими военными и военизированными Силами оперативной поддержки (RSF), обвиняя его в отсутствии нейтралитета.
На прошлой неделе в сети появилось видео, на котором суданский генерал насмехается над президентом Руто и кенийской армией.
Затем член парламента, принадлежащий к партии Руто, записал видео, которое также получило широкое распространение, нанеся ответный удар генералу.
На прошлой неделе корреспондент Би-би-си по кибербезопасности Джо Тайди взял интервью у представителя Анонимного Судана через Telegram вместе с кибер-исследователем по имени IntelCocktail.
Группа отрицала наличие связей с россией.
«Все эти заявления безосновательны и лживы, мы иногда пишем по-русски просто потому, что на нашем канале много русских участников», — сказал представитель.
Однако в отчете поставщика услуг кибербезопасности Truesec, опубликованном ранее в этом году, подчеркивается, что в учетной записи Telegram Anonymous Sudan указано, что в качестве местоположения пользователя указана россия.
Исследователи из таких компаний, занимающихся кибербезопасностью, как Mandiant и Trustwave, предполагают, что группа может работать на кремль или на кремль, но ни одна из них не доказала этого.
Натаниэль Аллен, эксперт по кибербезопасности из Африканского центра стратегических исследований, сказал Би-би-си, что нет никаких сомнений в том, что это была пророссийская хакерская группа, и что «несмотря на свое название, она, похоже, не имеет поддающихся проверке связей со страной Судан».
Он сказал, что его «инструменты, методы и практика отражают инструменты, методы и методы других российских хакерских групп. И если вы посмотрите на цели группы, то в основном это западные или ориентированные на Запад страны и правительства. Сама россия».
В июне, во время мятежа вагнера, группа заявила о своей поддержке кремля.
Объясняли это так: «Нас не интересуют и не сосредотачиваются на российских делах, но подобное случилось с нашей страной, и русские стояли с нами, поэтому мы хотели им отплатить».
Джо Тайди сказал, что из проведенного им интервью невозможно сделать какие-либо твердые выводы об истинной личности группы.
Как было совершено нападение?
В основном это был DDOS (распределенный отказ в обслуживании), проверенный метод, используемый хакерами для наводнения онлайн-сервисов трафиком в попытке перегрузить систему и заставить ее отключиться.
Анонимный Судан использовал тот же метод в своей самой громкой атаке на службы Microsoft в июне.
«Они пытались заглушить систему, отправив в систему больше, чем обычные запросы. Это началось с замедления работы системы», — сказал министр информации.
Брайт Гамели, эксперт по кибербезопасности из Кении, считает, что в этом могут быть замешаны инсайдеры.
«DDOS на критические конечные точки никогда не бывает случайным. Нужно знать много информации, чтобы точно знать, куда наносить удар, что приводит к остановке многих систем», — сказал он.
«Нам повезло, что не было эксфильтрации данных, потому что это было бы неловко».
Насколько хорошо Кения подготовилась?
Аллен сказал, что «Кения, вероятно, так же хорошо подготовлена, как и любое правительство в Африке, к реагированию на такую атаку. У нее есть хорошо развитая инфраструктура кибербезопасности и компьютерной безопасности. Она занимает 51-е место из 182 стран по кибербезопасности ООН. Индекс обязательств».
Тем не менее, он отметил, что страна сильно пострадала во многих отношениях, что показывает «опасность попадания в зависимость от цифровых технологий для важнейших экономических функций без серьезного отношения к кибербезопасности».
«В какой-то степени страны Африки отдают приоритет цифровому развитию, а не кибербезопасности, когда становится все более очевидным, что эти два направления должны идти рука об руку».