У першій частині статті розповідалося про передумови повномасштабних кібератак російських гакерів на стратегічні українські сайти та їхнє збільшення з 2014 року. Тепер мова піде про кіберфронт після повномасштабного вторгнення Росії в Україну.
З Юнесом (звісно ж, ім’я змінено) ми познайомилися завдяки Джонатану Скотту, спеціалісту з кібербезпеки, який нещодавно розробляв Pegasus. Шпигунське програмне забезпечення, яке можна непомітно встановити на мобільні телефони й інші пристрої, зокрема з операційними системами Apple iOS і Android. Юнес — студент. Йому приписують зламання мережі камер, які встановили росіяни і які мали відстежувати пересування українських військ. Гакери з Anonymous позмінювали там паролі, тим самим відрізавши одне з джерел російської розвідки.
— Ми намагаємося завдати якомога більшої шкоди, — каже Юнес.
Він починав з гакерства заради розваги і, як сам зазначає, був «звичайним інтернет-вандалом». Кілька років тому з ним зв’язалися люди з Anonymous, вражені його досягненнями. Група, яка колись атакувала західні уряди, відповідальні «за імперіалізм і порушення прав людини», тепер оголосила війну Росії.
Найпомітнішим аспектом діяльності Anonymous є DDoS-атаки. Від початку широкомасштабного вторгнення Росії в Україну група паралізувала кілька сотень російських і білоруських сайтів. Деякі — наприклад, сайти Газпрому, агентства ТАСС чи Кремля, — були паралізовані впродовж кількадесяти годин. DDoS-атаки посилюють відчуття хаосу й завдають збитків атакованим установам і компаніям, проте зазвичай не завдають постійної шкоди. Однак про найбільші акти такого плану громадськість так і не дізналася.
— Ми намагаємося створити щит над Україною, — каже польський гакер із Anonymous. — Коли вони атакують, ми відповідаємо ще більшою атакою, паралізуючи їхні дії.
— Путін давно усвідомлював силу нових технологій і збирався їх активно використовувати. Найкращим прикладом цього є російська дезінформаційна машина. А тепер хтось йому каже: «я перевіряю», — розповідає Мацєй Броняж, інженер систем безпеки та ІТ, викладач Центру судових наук Варшавського університету.
Однак він наголошує, що після першого потрясіння Росія вирішила піти на радикальні заходи, відключивши значну частину своєї мережі від глобального інтернету.
— Це ускладнює масштабні кібератаки, які відбувалися у перші дні після вторгнення, — каже він. — Відокремлення Росії від глобальної мережі полегшує роботу пропагандистської машини Путіна.
Деякі гакери з тих, що працюють на користь України, опанували мистецтво завдавати постійної шкоди. На третій день широкомасштабної війни група Network Battalion 65’ у соцмережах опублікувала відео атаки, під час якої зловмисники захопили системи управління газовими компресорами в Ногірі (північна Осетія), що потенційно могло спричинити вибух.
— Цей компресор зламали мої друзі. Ми знаємо, що більшість росіян не хочуть цієї війни, тому ідея того, що ми мали свідомо влаштувати вибух, на 100 % неправдива, — стверджує Юнес. — На початку кібервійни з Росією ми мали встановити кілька правил. Ось деякі з них: жодних нападів на школи, лікарні чи промислові вузли з метою створення хаосу. Ми — гакери, а не вбивці.
Гакерська артилерія
Більшість просунутих гакерських атак базуються на так званих zero-day (вразливості нульового дня) — вразливості програмного забезпечення, яка ще не була виправлена виробниками або оприлюднена (тобто минуло нуль днів із моменту її офіційного виявлення). Вона може надавати доступ до найголовніших функцій систем критичної інфраструктури та дає змогу, серед іншого, її паралізувати або в крайньому разі фізично знищити (це також «практикували» російські гакери в Україні кілька років тому).
— Росія — одна з найсильніших країн у цій сфері. Ймовірно, в них є доступ до сотень «нульових днів», — каже Юнес.
Згідно з даними Національного індексу кіберпотужності, підготовленого Центром Белфера Гарвардського університету, до країн великої п’ятірки з найширшими можливостями роботи в кіберпросторі належать США, Китай, Великобританія, Росія та Нідерланди. Там є відповідно вишколені люди, власні інструменти, стратегії та тактика для ефективного ведення оборонної та наступальної діяльності.
— Росія може планувати атаки на українські системи SCADA Вони тримають під контролем перебіг технологічного чи виробничого процесу. і викликати гігантські відключення. Російські служби кібербезпеки точно мають такі можливості, і, думаю, вони ними скористаються, — вважає Юнес.
Коли це може статися? Деякі експерти вважають, що найбільша загроза виникне тоді, коли Кремль вирішить, що шансів на воєнну перемогу в Україні немає.
— Тоді, найімовірніше, битва перенесеться в інший простір, — каже Мацєй Броняж.
— Однак мистецтво полягає у тому, щоб не наробити галасу. Найважливіші операції відбуваються в суворій конфіденційності й радше не потрапляють у ЗМІ. Швидше за все служби обох сторін уже діють. Постійно відбуваються спроби проникнути в системи, інфільтрувати їх та захистити, — додає Кшиштоф Калінський, експерт із кібертероризму Центру досліджень тероризму імені Кшиштофа Ліделя в Collegium Civitas. І нагадує, що захист ІТ-систем від зловмисників — безперервний процес, а нападнику достатньо досягти успіху лише раз.
Єгор Аушев, координатор української Cyber Guard, зазначає:
— У нас уже є тисяча гакерів-добровольців і 200 тисяч людей, які борються з російською дезінформацією.
Чи готова Польща до масштабних кібератак?
Мацєй Броняж зазначає, що якби польські системи зазнавали таких атак, як українські, то наслідки для них були б плачевні.
— Польські компанії багато роблять у сфері кібербезпеки, але безпека нашого державного сектора неоднозначна, досить згадати скандал із витоком даних з мейла міністра Дворчика. Ще до того, як він спалахнув, виявилося, що частину державних серверів зламали, позаяк Microsoft Exchange роками не оновлювався.
Ще раніше аудит, під час якого перевірялося, скільки старого програмного забезпечення використовують у Польщі, показав, що добра частина ще пам’ятає часи президентства Лєха Валенси. В цьому плані відстає переважно державний сектор. До заяв уряду про те, що ми відбиваємо кібератаки, я би ставився як до піару. Просто ми ще не бачили по-справжньому серйозних атак.
У контексті Польщі мене турбує той факт, що ми регулярно знаходимо ознаки зламів під час аудитів чи тестів на проникнення. Можливо, масштаби інфільтрованих систем більші, але ми цього ще не знаємо. Можливо, нападники вже, наприклад, два роки є в системі, але нічого не роблять, тільки циклічно заходять і перевіряють, чи не втратили доступ. У критичний момент вони можуть зруйнувати систему або успішно завантажити з неї дані.
А Кшиштоф Калінський зазначає, що залишається сподіватися на те, що Польщі немає серед першочергових цілей росіян.
Клин
— У Росії вже помітні елементи антикризового управління, — розповідає професор Томаш Алєксандрович, викладач Вищої школи поліції в Щитні та Collegium Civitas у Варшаві. — Інформування, спрямоване на власних громадян, і тотальне відсікання їх від інформації ззовні, а також подання всієї операції в Україні як захисту Росії. За мить виявиться, що українці готували атомні човни, щоб напасти на росіян. Я думаю, інформаційна боротьба Кремля й надалі рухатиметься в напрямку, який нормальні люди, що орієнтуються у світовій ситуації, сприйматимуть як ідіотизм. Але, враховуючи останні події в Перемишлі, можна очікувати, що знайдуться й ті, хто в це повірить.
Пост з’явився о п’ятій ранку. «Знайшла в мережі... це провал», — пише користувачка фейсбуку. У її дописі (з фотографіями темношкірих чоловіків) ішлося про те, що вони видавали себе за біженців з України, хоча не мали до них жодного стосунку. «Вони будували стіну в Білорусі, а ми їх ще годуємо й обдаровуємо», — пише авторка. У польських соціальних мережах раніше вже з’являлися дописи зі схожим змістом, що й у цієї жінки, яка стверджує, нібито походить із Сілезії, але постійно мешкає в Леверкузені.
— Я не знаю, чому саме цей пост протягом доби поширили 72 тисячі разів, — зазначає Міхал Федорович, президент Інституту досліджень інтернету та Соціальних медіа. — Це означає, що сумарно його побачили 15 мільйонів людей. Для порівняння, допис Роберта Лєвандовського, в якому він повідомив, що не гратиме в матчі з Росією, один із найпопулярніших у польському інтернеті за останні дні, мав удвічі менше охоплення.
Експерт зазначає, що платна кампанія в соцмережах, яка мала би охопити стільки ж користувачів, скільки пост уродженки Сілезії, коштувала б приблизно мільйон злотих. Цікаво, що інтернет-допис поширився не серед випадкових людей, а в чітко визначених групах, серед антивакцинаторів та футбольних фанатів, і, як зазначає Федорович, більшість дописів, а часом і акаунти, які їх поширювали, уже зникли з інтернету. Уродженка Сілезії також видалила свій пост.
— Безумовно, це була спланована акція. Її мета — викликати істерику в Перемишлі та агресію в групах футбольних фанатів у Перемишлі, Тарнуві та Кракові. У зв’язку з цим виникає низка питань, тим паче що, схоже, це не повністю штучно створений трафік, що надзвичайно ускладнює вихоплення подібних повідомлень в інтернеті. Я не виключаю, що власники деяких акаунтів, які поширювали це повідомлення, можуть про це навіть не знати, — зазначає Міхал Федорович.
Від початку повномасштабного вторгнення українські служби неодноразово закликали до обережності в соцмережах та попереджали, що акаунти можуть бути зламані.
Які наслідки цієї операції? ЗМІ з усього світу масово пишуть про акти насильства з боку поляків над темношкірими біженцями з України. Між союзниками вбили клин.
***
Невдовзі після нашої першої розмови росіяни з The Red Bandits переглянули свою позицію. У заяві вони написали: «Ми хочемо, щоб усі в Україні це прочитали. Ми на боці громадян України і тому не нападали ні на кого, крім [їхньої] влади. Ми нікому не передавали отримані дані про Україну. Ми не поважаємо Путіна як лідера, ми шануємо його як громадянина Росії і підтримуємо всіх її громадян. Ми не згодні з його діями, які суперечать миру. Ми проти нападів на невинних, якщо не буде серйозної ескалації».
Генеральний секретар НАТО Єнс Столтенберг попередив, що кібератаки на альянс можуть запустити в дію п’яту статтю, Йдеться про п’яту статтю Вашингтонського договору 1949 року. яка трактує атаку на будь-якого союзника НАТО як атаку на всіх.
Цифрові атаки на Україну: календар
2013–2014: серія атак на українські сервери вірусом Turla / Uroboros. Це одна з перших кібератак, у якій звинуватили гакерів, що діють на замовлення російського уряду.
2014: масована кібератака на системи державних виборчих комісій.
2015: Атака BlackEnergy, що спричинила відімкнення електроенергії в 230 тисяч мешканців Києва та західних областей України. У нападі звинувачують групу Sandworm (відому також під назвою Voodoo Bear та Unit 74455). Ці гакери діють при ГРУ.
2016: чергова успішна атака на енергетичні мережі.
2017: вірус NotPetya спочатку паралізував українські комп’ютерні мережі, а потім заразив системи багатьох країн світу. У нападі звинувачують групу Sandworm. Одразу після атаки генеральний секретар НАТО Єнс Столтенберг заявив, що альянс зміцнить свої сили кіберзахисту, і попередив: такі атаки на одну з держав-членів можуть запустити в дію п’яту статтю.
2022: найбільша DDoS-атака в історії України на кілька годин паралізувала сайти уряду та найбільших банків. Водночас розгорнулася атака вірусом Hermetic Wiper.
Переклала Марія Шагурі
Стаття була опублікована на сайті видання Tygodnik Powszechny