Идеи

Тайный фронт. Киберсхватка за Украину. Часть 2

Агата Казьмерская, Войцех Бжезиньский
Источник: Pixabay

Источник: Pixabay

Про украинский полигон мировой кибервойны. Оригинал статьи был опубликован 7 марта 2022 года.

Мы познакомились с Юнесом (разумеется , это не настоящее имя) благодаря Джонатану Скотту, специалисту по кибербезопасности, который недавно участвовал в разоблачении шпионского программного обеспечения Pegasus. Юнес — студент. Ему приписывают взлом сети камер, установленных россиянами для наблюдения за передвижением украинских войск. Хакеры из Anonymous подменили в них пароли, тем самым перекрыв один из источников российской разведки.

«Мы пытаемся нанести как можно больший ущерб» , — говорит Юнес. Он начал заниматься хакерством ради чистого развлечения и, по его собственному признанию, был «обычным интернет-вандалом». Несколько лет назад с ним связались члены группы Anonymous, которые были впечатлены его достижениями. Группа, которая раньше атаковала западные правительства в отместку «за империализм и нарушения прав человека», теперь объявила войну России.

Наиболее заметная форма деятельности группы — DDoS-атаки. С начала полномасштабной войны ей удалось парализовать работу нескольких сотен российских и белорусских веб-сайтов. Некоторые , такие как сайты Газпрома, агентства ТАСС и Кремля, оставались недоступными по несколько десятков часов. Конечно, DDoS-атаки усиливают ощущение хаоса и приносят убытки атакованным учреждениям или компаниям, но обычно они не наносят необратимого ущерба. Однако о крупнейших акциях такого рода широкая общественность не знала.

«Мы пытаемся создать над Украиной щит , — говорит польский хакер , действующий под эгидой Anonymous. — Когда они атакуют , мы отвечаем еще более мощной атакой, парализуя их действия».

Мацей Броняж , архитектор безопасности и информационных систем, преподаватель Центра судебных наук Варшавского университета

Путин в течение многих лет осознавал силу новых технологий и был решительно настроен использовать их , чему лучшим примером служит российская машина дезинформации. Но теперь кто-то сказал ему: «Это мы еще посмотрим».

Однако эксперт отмечает , что после первоначального шока Россия решила предпринять радикальные меры, отключив значительную часть своей сети от глобального интернета.

По его словам , это усложняет проведение крупных кибератак, подобных тем, которые произошли в первые дни после вторжения. Отключение России от глобальной сети облегчает работу путинской пропагандистской машины.

Среди хакеров , действующих в пользу Украины, есть и те, кто овладел искусством нанесения необратимого ущерба. На третий день полномасштабной войны группа «Сетевой батальон – 65» выложила в социальных сетях запись кибератаки, в ходе которой злоумышленники захватили системы управления компрессорами в Ногире в Северной Осетии, что потенциально могло позволить им взорвать систему газораспределения.

Юнес , хакер из группы Anonymous

Управление этими компрессорами взломали мои друзья. Мы знаем , что большинство россиян не хотят этой войны, поэтому идея о том, что мы намеренно спровоцируем взрыв, — это стопроцентная чушь. В начале кибервойны с Россией нам пришлось установить для себя определенные правила. Например: мы не атакуем школы, больницы или промышленные контроллеры с целью создания хаоса. Мы — хакеры, а не убийцы.

Хакерская артиллерия

Большинство современных хакерских атак основано на так называемых атаках «нулевого дня» — использовании уязвимостей в программном обеспечении , которые еще не были исправлены производителями и не обнародованы (то есть с момента их официального обнаружения прошло ноль дней).

Подобные атаки могут предоставить доступ к наиболее важным функциям систем критической инфраструктуры и позволяют , помимо прочего, парализовать их или даже физически уничтожить. Российские хакеры «обкатывали» такие атаки в Украине несколько лет назад. «Россия — одна из самых сильных стран мира в этой области. В их распоряжении , вероятно, сотни возможностей для атак “нулевого дня”» , — утверждает Юнес.

Согласно Национальному индексу кибер-мощи (National Cyber Power Index) , который составляет Белферский центр Гарвардского университета, в «большую пятерку» стран с наиболее обширными возможностями ведения сложнейших действий в киберпространстве входят США, Китай, Великобритания, Россия и Нидерланды. У них есть хорошо подготовленные специалисты, собственный инструментарий, а также разработанные стратегия и тактика для эффективного проведения оборонительных и наступательных операций.

Юнес , хакер из группы Anonymous

Россия может решить атаковать украинские системы SCADA комплексные автоматизированные системы диспетчерского управления технологическими или производственными процессами и вызвать гигантские отключения. У российских киберслужб определенно есть такие возможности , и я предполагаю, что они их используют.

Когда это может произойти? Некоторые эксперты отмечают , что самая большая угроза возникнет, когда Кремль решит, что у него нет шансов добиться военной победы в Украине. «Тогда гораздо вероятнее , что борьба переместится в другое пространство» , — говорит Мацей Броняж.

Кшиштоф Калиньский , эксперт по кибертерроризму из Центра исследований терроризма при университете Collegium Civitas

Дело , однако, не в том, что наделать шуму. Самые важные операции проходят в строгой секретности и чаще всего не попадают в СМИ. Следует предполагать, что спецслужбы обеих сторон действуют уже сейчас, и все время предпринимаются попытки проникнуть в системы, внедриться в них (или, наоборот, защитить свои).

Эксперт напоминает , что защита IT-систем от злоумышленников — это непрерывный процесс, но атакующему достаточно добиться успеха только один раз.

Готова ли Польша к крупномасштабным кибератакам?

Мацей Броняж

Произойди такие нападения , как в Украине, в нашей стране, я бы очень удивился, если бы их последствия не были плачевными. Частные фирмы сами делают многое в области кибербезопасности, но защищенность нашего правительственного сектора весьма спорная, и проблема вовсе не сводится к утечке электронных писем из почтового ящика Михала Дворчика, главы канцелярии премьер-министра Польши. Еще до того, как этот скандал разразился, выяснилось, что была взломана часть правительственных серверов, поскольку Microsoft Exchange там не обновлялся в течение многих лет.

Еще раньше, чтобы проверить, насколько старое ПО используется в Польше, был проведен специальный аудит. Он показал, что некоторые программы помнят еще времена президентства
Леха Валенсы , и отставание здесь наблюдается в основном в государственном секторе. По моему мнению, заявления правительства о том, что кибератаки в Польше происходят, но успешно отражаются — не более чем пиар. Мы просто еще не видели массивных кибератак.

В плане Польши меня беспокоит тот факт, что в ходе аудитов и тестов на проникновение мы регулярно находим следы вторжений. Возможно, что доля инфицированных систем еще больше, но мы этого пока не знаем. Например, вредоносные программы могут уже находиться в системе, скажем, два года, но ничего не делать, кроме периодического входа в систему и проверки, не потеряли ли они доступ. Однако в решающий момент они могут уничтожить систему или последовательно выкачивать из нее данные.

«Можно только надеяться , что Польша не находится на первой линии интересов россиян» , — считает Кшиштоф Калиньский.

Клин

Томаш Александрович , преподаватель Высшей школы полиции в Щитно и университета Collegium Civitas в Варшаве.

Элементы кризисного управления видны в России уже сейчас. Там коммуникация направлена на собственных граждан: их полностью отрезают от информации извне и при этом представляют всю «спецоперацию» в Украине как меры , предпринятые Россией для своей обороны. Если мы подождем еще немного, выяснится, что украинцы готовили ядерные подводные лодки для атаки на русских. Я ожидаю, что информационная война Кремля будет продолжаться в направлении, которое нормальные люди, понимающие, что к чему, сочтут идиотизмом. Но, учитывая недавние события в Пшемысле, можно ожидать, что найдутся те, кто в это поверит».

Пост в соцетях появился в пять часов утра. «Найдено в Интернете ... жесть» — написала пользовательница Facebook. Она выложила фотографии темнокожих мужчин и написала , что те утверждают, будто являются беженцами из Украины, хотя не имеют с ними ничего общего. «На белорусской границе для защиты от них пришлось строить стену , но мы все еще кормим их и дарим подарки» , — утверждает автор. В ее профиле написано, что она родом из Силезии, а живет в Леверкузене (Германия). До этого в польских социальных сетях уже появились другие сообщения такого же содержания.

Михал Федорович , президент Института исследований Интернета и социальных медиа

Я не знаю , почему именно этот пост был расшарен 72 тысяч раз в течение 24 часов. Это означает, что его увидело в общей сложности до 15 миллионов человек. Для сравнения упомянем, что пост Роберта Левандовского, в котором он объявил, что не сыграет в матче против России (один из самых популярных постов в польском интернете за последние дни), имел вдвое меньший охват.

Эксперт отмечает , что платная кампания в социальных сетях, которая охватила бы столько же адресатов, сколько пост этой пользовательницы, обошлась бы примерно в миллион злотых (около 215 тысяч евро). Что интересно, пост попал не к случайным людям, а к строго определенным социальным группам: антиваксерам и футбольным фанатам. Но при этом, как отмечает Федорович, большинство постов, а иногда и аккаунтов, которые их публиковали, уже исчезли из Интернета. Женщина из Леверкузена также удалила свой пост.

Михал Федорович

Безусловно , это была спланированная акция. Ее целью было вызвать истерику в Пшемысле и агрессию в группах футбольных болельщиков в Пшемысле, Тарнове и Кракове. В связи с этим случаем возникает целый ряд вопросов, тем более это не похоже на полностью искусственно созданный трафик, что делает крайне сложным обнаружение подобных сообщений в Интернете. Я не исключаю, что владельцы некоторых аккаунтов, которые воспроизвели это сообщение, могут даже не знать об этом.

Несколько раз с начала вторжения украинские спецслужбы призывали к осторожности в соцсетях и предупреждали , что интернет-аккаунты могут быть взломаны.

Каков был эффект ото всей этой операции? Об актах насилия поляков в отношении темнокожих беженцев из Украины пишут — и весьма широко — СМИ всего мира. Между союзниками был вбит клин.

***

Вскоре после нашего первого разговора россияне из The Red Bandits пересмотрели свою позицию. В своем заявлении они написали: «Мы хотим , чтобы это прочли все в Украине. Мы стоим на стороне граждан Украины и поэтому не атаковали ничего, кроме [их — Ред.] правительства. Мы никому не передавали полученные нами данные об Украине. Мы не уважаем Путина как лидера, мы уважаем его как гражданина России и поддерживаем всех ее граждан. Мы не согласны с его действиями, противоречащими миру. (...) Мы отказываемся от нападений на невинных людей, если только не наступит серьезная эскалация».

Генеральный секретарь НАТО Йенс Столтенберг предупредил , что кибератаки на страны Североатлантического альянса могут привести в действие Статью 5 Устава НАТО, которая рассматривает нападение на любого члена НАТО как нападение на всех его членов.

Сообщение с требованием выкупа , отображаемое одним из вариантов вируса Petya, использованного для атаки на Украину / Wikimedia Commons

Кибернетические атаки на Украину: хронология

2013–2014 Серия атак на украинские серверы , осуществленных с помощью вируса Turla/Uroboros. Это была одна из первых кибератак, в совершении которой обвинили хакеров, действующих по поручению российского правительства.

2014 Массированная кибератака на системы Государственной избирательной комиссии.

2015 — Атака с использованием вируса BlackEnergy приводит к отключению электроэнергии и лишает электричества 230 тысячи жителей Киева и западной Украины. В нападении обвиняется группа Sandworm , также известная как Voodoo Bear и в/ч 74455. Это хакеры, действующие в составе подразделения ГРУ.

2016 — Очередная успешная атака на энергосети.

2017 — Вирус NotPetya сначала поражает украинские компьютерные сети , а затем заражает компьютеры во многих странах мира. В нападении обвиняется группа Sandworm. Сразу же после этой атаки генеральный секретарь НАТО Йенс Столтенберг заявляет, что Североатлантический альянс усилит свои средства киберзащиты, и предупреждает, что аналогичная атака на одну из стран-членов Альянса может привести в действие Статью 5 Устава НАТО.

2022 — Крупнейшая в истории Украины DDoS-атака на несколько часов парализует работу сайтов правительства и крупных банков. Одновременно начинается атака вируса Hermetic Wiper.

Перевод Александра Бондарева

Статья была опубликована в журнале Tygodnik Powszechny.

05 апреля 2022