Хакерские атаки стали полноценной частью российско-украинской войны. По мере того как российские и украинские хакеры набираются опыта, их цели будут становиться более серьезными, а последствия атак – более разрушительными, считает один из основателей "Украинского киберальянса" Андрей Баранович.
В январе и феврале 2022 года Украина подверглась масштабным хакерским атакам. В результате них были похищены персональные данные миллионов украинцев из базы МВД страны, нарушена работа приложения "Дiя", аналога российских "Госуслуг", пострадали крупные банки. Как оказалось, эти атаки были прелюдией к полномасштабному российскому вторжению в страну. Спустя почти два года Россия не прекращает попыток нанести Украине ущерб не только на поле боя, но и в компьютерных сетях – в середине декабря в результате хакерской атаки российской хакерской группы "Солнцепек", которая, по данным СБУ, близка к Главному управлению Генерального штаба российских вооружённых сил (более известному как ГРУ), на несколько дней была парализована работа крупнейшего украинского оператора сотовой связи "Киевстар".
Смотри также Фицо объяснил, зачем ездил к Путину. Хроника войныУкраинские хакеры тоже не сидели сложа руки: благодаря осуществленным ими операциям была нарушена работа системы спутниковой связи, которой пользовались российские военные, были взломаны почтовые ящики и серверы российских чиновников и сотрудников Министерства обороны. Впрочем, далеко не все атаки как российских, так и украинских хакеров были публичными.
Кто выигрывает российско-украинскую войну в "виртуальном пространстве"? Как изменился характер хакерских атак с начала полномасштабного российского вторжения? В какой степени действия хакеров координируются с военными? Каким будет соперничество Украины и России в киберпространстве в 2024 году? Об этом Радио Свобода поговорило с одним из основателей волонтерской группы "Украинский киберальянс" Андреем Барановичем.
"Атаку на "Киевстар" россияне использовали бездарно"
– Последний раз мы с вами говорили 16 февраля 2022 года, как оказалось – ровно за неделю до начала полномасштабного российского вторжения в Украину. Тогда целями масштабной российской хакерской атаки стали украинские банки и госструктуры. Сейчас ясно, что эта атака действительно была прелюдией к большой войне – хотя мы тогда этого еще не знали. Война продолжается уже больше полутора лет. Как она проходит на условном "киберфронте" и можно ли вообще говорить о "кибервойне" в отрыве от войны "на земле"?
– Непрекращающиеся хакерские атаки россиян можно назвать тактически успешными. То, что они хотят взломать, они ломают, но при этом своих целей они добиться с помощью этих атак не могут. Вместе с этим в Украине сформировались команды, как государственные, так и негосударственные, которые проводят атаки в ответ. Преимущество украинских хакеров в том, что у нас есть четкая мотивация и четкое понимание того, чего мы хотим достичь в итоге. Это общее дело, отражение российской агрессии, и потому у нас нет недостатка желающих участвовать в кибервойне. Наиболее яркие события этой кибервойны, которые привлекают внимание, – не самые важные. Самый большой резонанс вызывали DDoS-атаки, утечки различных баз данных, как с украинской, так и с российской стороны, потом пошли более серьезные атаки с разрушением инфраструктуры – могу сказать, что некоторые техногенные аварии в России за это время не всегда были вызваны естественными причинами.
Случайные люди уже отсеялись
Кибервойна – явление новое, и компьютерные операции не являются решающими, когда речь идет об общевойсковых операциях и о полномасштабной войне на истощение. Тем не менее у киберопераций есть своя роль, пусть и не главная: это источник разведывательной информации, это возможность осуществлять информационные кампании, это возможность проводить диверсии. Я надеюсь, что за прошедшее с начала вторжения время с украинской стороны уже отсеялись случайные люди, а у тех, кто остался, возникло понимание, что кибероперации должны быть скоординированы, в том числе между разными группами хакеров, и приносить пользу нашей армии, чтобы победить врага.
– Самой заметной по последствиям, пожалуй, стала недавняя атака на украинского оператора сотовой связи "Киевстар", в результате которой миллионы украинцев потеряли возможность совершать звонки и выходить в интернет. При этом началась она с обычного фишингового письма, на которое "клюнул" один из сотрудников компании.
– На самом деле неважно, с чего именно начинается атака – с фишинга или взлома какой-то отдельной системы. Дело в том, что системно компьютерной безопасностью не занимаются ни в Украине, ни в России, и взломать можно практически все, что угодно. Эффекту от отказа связи "Киевстара" способствовали действия службы информационной безопасности самой компании, они об этом упоминали сами в одном из интервью. Часть систем они отключали намеренно, чтобы локализовать атаку. Если бы у них заранее был какой-то план отражения подобной атаки, последствия были бы куда меньше. Что меня удивляет в атаке на "Киевстар" – это то, что российская сторона даже не попыталась воспользоваться отказом крупнейшего мобильного оператора, что компьютерная атака не была скоординирована с действиями военных. Возникает впечатление, что российские спецслужбы провели эту атаку лишь для того, чтобы показать свою полезность, произвести впечатление на свое руководство и провертеть очередную дырку в погонах.
– Косвенно в пользу этой версии говорит то, что атакой на "Киевстар" оказались затронуты и сами российские военные на линии фронта – они якобы использовали купленные еще до войны сим-карты украинского оператора для навигации в своих дронах.
– Да, не говоря уже о том, что если хакеры контролируют большого оператора, одного из трех в стране, то это ценнейший источник разведывательной информации: можно узнать, где находится тот или иной абонент, можно поставить его на прослушку, можно перехватывать СМС для получения доступа к аккаунтам в мессенджерах. Поражает то, что, обладая таким доступом, российские спецслужбы использовали его настолько бездарно. Это, конечно, привело к большим убыткам, но они несравнимы с тем ущербом, который можно было нанести, обладая подобным доступом.
– Сейчас этого доступа у них уже нет?
– Я на это надеюсь. Я думаю, после того как вся сесть лежала несколько дней, что вызвало огромный материальный и репутационный ущерб для "Киевстара", сейчас компания перетряхивает все свои системы и делает все возможное, чтобы хакеры не могли туда вернуться.
"Хакеры не должны мешаться под ногами друг у друга"
– Британский Королевский институт объединенных служб исследований в области обороны и безопасности пишет в своем недавнем докладе, что российские военные переходят на фронте на проводную связь, чтобы не дать Украине возможность перехватывать свои разговоры и сообщения. Можно ли сказать, что в определенной степени децифровизация – разумный способ защиты в условиях войны?
– Конечно. Кроме того, военные также используют спутниковую связь, УКВ связь, им есть из чего выбирать, и мобильный телефон на линии столкновения сам по себе – далеко не самая безопасная вещь, потому что на его сигнал можно навестись, и потом по тебе просто "прилетит".
– Вместе с сообщениями о российских хакерских атаках регулярно появляются новости и об атаках украинских. Например, с атакой на "Киевстар" по времени совпало сообщение об атаке на серверы Федеральной налоговой службы России. Сообщалось об атаке на Министерство труда и соцзащиты РФ. Каждый раз утверждается, что похищены ценные данные, причем о своей причастности к атакам теперь заявляет даже Служба безопасности Украины – чего раньше не наблюдалось. Как обстоит в Украине дело не с координацией хакерских групп между собой, а с координацией их действий с госструктурами?
– Мы работаем над этим. Естественно, никто не будет делиться текущими целями по соображениям операционной безопасности, но мы предпринимаем попытки, чтобы разные хакеры хотя бы не мешались под ногами друг у друга. В некоторых случаях внутри той или иной компьютерной системы могут столкнуться 3, 4 или даже 5 хакерских команд. Это приводит к тому, что цель может оказаться потерянной для всех. И да, чуть ли не впервые за всю историю и СБУ, и Главное управление разведки Минобороны Украины взяли на себя ответственность за проведенные атаки. Я считаю, что это очень хорошо, так как это упрощает координацию между различными ведомствами, и в перспективе можно даже говорить о создании каких-то кибервойск, объединенного киберкомандования, потому что если бы эти ведомства говорили: "Мы ничего не делали", то некого было бы и объединять.
– Как обстоит дело с этим у вашего противника? Мы все знаем о хакерах ГРУ, появились ли у них конкуренты? Насколько вообще легко или сложно атрибутировать ту или иную атаку?
– В атрибуции очень помогают западные исследователи и наши отечественные службы, например Госспецсвязь, которая стала уделять больше внимания атакам. Одним из самых активных игроков в России остается ГРУ, за ним идут ФСБ и СВР, появились и независимые хакеры – они не чета своим коллегам в погонах, но тоже пытаются что-то делать. Что меня удивляет: несмотря на то что никто не сомневается, кто выполнил ту или иную атаку, российские спецслужбы по-прежнему пытаются отрицать свое участие во взломах, выдумывать себе вымышленных персонажей, вымышленные хакерские группы. Я думаю, что это связано с привычками, появившимися еще во время холодной войны. Это приводит к тому, что такие атаки сложно масштабировать. Если "никто ничего не делал", если за атакой стоит "не ведомая никому" группа "Солнцепек", то о какой координации можно говорить?
Смотри также По следам офицеров ГРУ. Новые детали в "деле русских хакеров""Это настоящая кибервойна"
– Какие операции хакерских групп, входящих в "Украинский киберальянс", да и других тоже, запомнились вам больше всего за последний год? Я говорю о тех операциях, которые были публичными: например, со взломом почты российского военкома, из которой стало известно о вербовке кубинцев на войну, в результате чего даже власти самой Кубы были вынуждены реагировать и арестовали несколько человек, причастных к этой вербовке.
– Вскоре после начала вторжения была массированная атака на RuTube, в результате которой пострадала инфраструктура видеохостинга, и им пришлось долго восстанавливаться. В то время как многие начинающие группы после начала войны ломали сайты, сливали базы, это стало примером успешной, по-настоящему разрушительной атаки. Также вспоминается атака на провайдера спутниковой связи "Дозор-Телепорт", услугами которого пользуются и российские военные. В первый день вторжения россияне атаковали украинского оператора Viasat, и в этот раз они получили "ответку". Важнее отдельных атак то, насколько системной стала эта деятельность. Атаки с обеих сторон не прекращаются ни на секунду, о большей их части публика узнает только спустя какое-то время. Это превратилось в полноценные боевые действия. Во многих случаях хакеры не пытаются что-то кому-то показать, а тихо достают большие объемы информации, имеющей разведывательную ценность, или переходят к диверсиям и по-настоящему разрушительным атакам. Это настоящая кибервойна.
– Кто в этой кибервойне выигрывает Россия или Украина? Мы, как журналисты-расследователи, часто имеем дело с утекшими в сеть базами данных. За последний год на рынке появилось множество новых баз, последний пример – данные из системы бронирований авиабилетов "Сирена". В то же время я не вижу там каких-то новых украинских баз.
– Нельзя сказать, кто выигрывает, а кто проигрывает, потому что это не соревнования. Все зависит от того, кто какие ставит перед собой цели и задачи. Я считаю, что для украинских хакеров задачи очевидны: наносить Российской Федерации ущерб и помогать своей армии и спецслужбам. У российских спецслужб, как мне кажется, задачи более узкие, направленные в первую очередь на информационные кампании и кампании по деморализации противника. При этом они тоже охотятся на разведданные, атаки на украинских военных идут очень активно начиная с самого низкого уровня, чтобы получить какую-то информацию о обратить ее на пользу своей армии. У российских и украинских хакеров отличаются и таргетинг, и тактика, и стратегия, так что каждая из сторон может заявлять о своей победе и своих преимуществах, но важный вывод заключается в том, что Украина вполне может противостоять России и в киберпространстве, включая уровень проводимых атак и способность защититься от атак противника. Из Украины за время войны тоже утекло немало данных, но по большей части они не публикуются, потому что взломами занимаются спецслужбы, не заинтересованные в том, чтобы эти утечки появились в публичном доступе.
– Еще до полномасштабного российского вторжения было известно об успешной российской атаке на украинское приложение для артиллеристов, после вторжения в российских телеграм-каналах публиковались скриншоты из других приложений, используемых украинскими военными, например, системы управления войсками "Дельта". Можно ли получить доступ к таким приложениям, просто захватив в качестве трофея планшет, принадлежавший солдату ВСУ?
– В случае с атакой на приложение для артиллеристов успехи россиян были точно преувеличены. Тогда речь шла о флуд-атаке на чат пользователей приложения в телеграме, администратор канала запаниковал и сменил его название. Так как канал с известным названием исчез, россияне объявили это победой, но это не имеет ничего общего со взломом самого приложения. Что касается системы "Дельта", естественно, все интегрированные военные системы являются для российских хакеров целью № 1, но внутри этих систем есть разделение по уровням доступа. Да, возможно, им удалось получить доступ к нескольким аккаунтам, но это штатная ситуация на войне, где военные могут попасть в плен вместе с имеющимся у них оборудованием. Насколько я знаю, россияне продолжают попытки взломать эту систему полностью, но пока это у них не получилось.
"Помочь можно тем, кто помогает себе сам"
– Мы, журналисты, часто сталкиваемся с попытками фишинга. Остается ли фишинг основным инструментом хакеров, ведь именно он был использован при атаке на "Киевстар"?
– Во многих атаках используется не только фишинг, но и уязвимости в компьютерных системах – в той же Microsoft Exchange. По крайней мере, в одной из атак российская сторона использовала "уязвимость нулевого дня", о которой никто ничего не знал. Что характерно, эту уязвимость определили именно в ходе атаки на одну из украинских систем. В этом участвовал CERT-UA (украинская правительственная команда реагирования на компьютерные чрезвычайные события, функционирующая в составе Государственной службы специальной связи. – Прим. РС), Microsoft, администраторы самой организации, которую атаковали. Это позволило Microsoft найти новую уязвимость и закрыть ее, хотя до этого эта же уязвимость использовалась в нескольких атаках против стран НАТО.
– Мы все знаем о военной помощи союзников Украине, которая становилась все более весомой по ходу войны. Произошло ли что-то подобное с помощью в отражении российских кибератак, в их атрибуции и так далее?
– Я лично вижу только публичную часть этой помощи, то, что публикуют такие вендоры, как Microsoft или Mandiant. О непубличной части я знаю мало, к тому же я, как хакер, больше занимаюсь не защитой, а атакой и не знаю, какие именно шаги для защиты предпринимает наша страна вместе с западными партнерами. Западные партнеры готовы предоставлять какое-то программное обеспечение, лицензии, готовы систематизировать информацию, полученную от Украины, и выпускать эти отчеты. Это, конечно, помогает. Но помогает это только тем, кто при этом помогает себе сам. Если в организации нет "безопасника", нет администратора, то там некому и помогать. Основная роль в обеспечении безопасности компьютерных систем лежит на "безопасниках" и администраторах, которые ими управляют. Можно помочь железом или софтом, но кто-то должен сидеть и ежедневно заниматься мониторингом и защитой.
– Началась зима, начались новые российские атаки на украинскую энергетическую инфраструктуру, и уже начались новые отключения электроэнергии в Украине. Влияют ли подобные последствия войны на кибербезопасность?
Если российские ракетчики начинают обстреливать энергетические объекты, то российские хакеры одновременно пытаются их ломать
– Руководство Госспецсвязи Украины уже говорило о скоординированных обычных и кибератаках на энергетическую инфраструктуру. Я считаю, что это не совсем так. Есть какое-то направление, в котором они работают. Если российские ракетчики начинают обстреливать энергетические объекты, то российские хакеры одновременно пытаются их ломать, но я не думаю, что это какая-то скоординированная деятельность, скорее это общее задание для всей российской армии, которое они так или иначе пытаются выполнить.
– Какие у вас прогнозы на 2024 год? Что будет происходить на поле боя – никто не знает. Многое, если не все, зависит от американской и европейской помощи и та, и другая пока "зависли". Какой будет война в киберпространстве и будет ли она отличаться от того, что мы уже видели?
– Да, я надеюсь, что изменения произойдут. Если раньше украинские хакеры делали какие-то дефейсы российских сайтов, пытались обращаться через них к российскому населению, то в будущем я ожидаю больше диверсий и каких-то разрушительных атак. По мере того как люди приобретают новый опыт, цели станут масштабнее. Возможны неожиданности, потому что кибервойна – еще более оппортунистическая область, чем традиционное военное искусство.