ІТ-армія України — це унікальна та розумна конструкція, організаційна структура, оперативний вплив якої, ймовірно, сприятиме розвитку мистецтва кібер- та інформаційних воєн у майбутніх конфліктах

11 травня веб-сайт RuTube, найбільшого російського потокового сервісу та конкурента YouTube, був виведений з ладу на три дні поспіль внаслідок того, що компанія назвала «найбільшою кібератакою», якої вона коли-небудь зазнавала. Наприкінці кібернаступу волонтерська група технологів і хакерів, відома як IT-армія України, взяла на себе відповідальність за це у своєму офіційному Telegram-каналі, назвавши атаку «найбільшою перемогою у кібервійні». Хакери також стверджували, що змінювали паролі адміністратора, видаляли та викрадали внутрішні дані та навіть блокували картки доступу співробітників до серверних кімнат компанії, замикаючи людей. Про це йдеться в аналітичній публікації Vice, повідомляє Foreign Ukraine.

З моменту свого запуску, лише через два дні після вторгнення Росії в Україну, ІТ-армія України атакувала кілька жертв, зокрема «Мвідео», велику російську мережу побутової електроніки; QIWI, популярний російський провайдер платіжних послуг; Асна, мережу з понад 10 000 аптек в Росії; і ЕГАИС — єдину державну автоматизовану інформаційну систему обліку алкоголю Уряду РФ.

ІТ-армія була провідною у боротьбі, яку Україна та Росія ведуть у кіберпросторі, і вона відкриває нові шляхи з точки зору того, що волонтерська, квазі-хактивістська група може зробити в контексті війни.

«ІТ-армія України — це унікальна та розумна конструкція, організаційна структура, оперативний вплив якої, ймовірно, сприятиме розвитку мистецтва кібер- та інформаційних воєн у майбутніх конфліктах. З точки зору громадськості, ІТ-армія слугує кораблем, який дозволяє українському уряду використовувати волонтерів з усього світу в його наполегливих діях [Distributed Denial of Service] проти веб-сайтів російського уряду та компаній. Станом на 7 червня 2022 року, це включало 662 цілі. Щодо непублічної сторони, внутрішня команда ІТ-армії, ймовірно, підтримує глибокі зв’язки з українськими службами оборони та розвідкою або значною мірою складається з них», — заявив Стефан Соесанто, старший дослідник з кібербезпеки Центру досліджень безпеки (CSS) в Цюріху.

Сайлас Катлер, дослідник кібербезпеки в Stairwell, зазначив, що з точки зору ІТ-армії, це, насправді, виглядає як кібервійна».

«Здебільшого люди беруться за зброю і роблять все, що можуть, без великих скоординованих команд розробників. І я думаю, що це просто ще один спосіб ведення кібервійни», — додав Катлер.

Так само, як і кінетична війна, що ведеться на українській території, кібервійна не повинна була розвиватись таким чином.

Дехто очікував, що Росія відносно легко захопить Україну. Майже через п’ять місяців українці продовжують чинити запеклий опір і успішно відтіснили російські війська. У кіберпросторі більшість очікувала, що Росія матиме польовий день, випустивши свої елітні хакерські підрозділи, щоб вимкнути мережу. Вони очікували, що Росія здійснить дуже складні та руйнівні атаки, такі як NotPetya. Росія не була повністю невдалою в цьому сенсі. Її хакери використали кілька штамів зловмисного програмного забезпечення Wiper — зловмисних програм, призначених для знищення даних — проти цілей, зокрема американського постачальника супутникового Інтернету. Але й у кіберпросторі українці чинили шалений опір і завдали удару у відповідь.

Соесанто зазначив, що перед війною прогнозувалось, що Росія «ретельно проникла в українську критичну інфраструктуру і, якщо так, підготувала інструменти до вторгнення 24 лютого».

Здається, це невірне припущення, але цьому можуть бути різні пояснення: можливо, російські хакерські підрозділи виявилися неготовими до вторгнення, або, можливо, українська інфраструктура виявилася більш стійкою, ніж вважалося раніше, або українські кіберзахисники добре впорались. За словами Соесанто, їм допомагають західні спецслужби.

Отже, те, що сталося, є свого роду партизанською кібервійною. Схоже, що кіберпотенціал України в основному складається з волонтерів, і їхній мандат полягає в тому, аби робити все, що вони можуть, в межах великої децентралізованої організації.

Марина Кротофіл, фахівчиня з кібербезпеки українського походження погодилася, що кібервійни в контексті ураження Росією критичної інфраструктури та ІТ-інфраструктури зі складними та новими атаками, методами та інструментами «не відбулося».

«Росія, безперечно, спрямувала значні зусилля на цифрову інфраструктуру України, але вони не продемонстрували жодних нових/небачених стратегій, інструментів чи методів. Більшість спроб були опортуністичними — проникнення в організації, куди вони могли потрапити, а сценарії атак були стандартними, наприклад витік даних або Wiper», – вважає кіберфахівчиня.

ІТ-армію створив Михайло Федоров, віце-прем’єр-міністр України та міністр цифрової трансформації. Міністерство цифрової трансформації опублікувало у своєму Telegram-каналі повідомлення із закликом до волонтерів: «Закликаємо використовувати будь-який вектор кібератак і DDoS-атак на російські ресурси». Відтоді IT-армія здебільшого використовувала DDoS як зброю — аж до того, що тепер вона випускає власні інструменти DDoS. Але з часом група здійснила інші типи кібератак, більш-менш витончені.

На початку квітня ІТ-армія України атакувала веб-сайти Sukhoi.ru (російський виробник літаків) і Gazprom.ru (мажоритарна російська державна енергетична компанія), завантаживши фейкові заяви генерального директора Sukhoi Юрія Слюсаря та генерального директора «Газпрому» Олексія Міллера, критикуючи російську владу за війну в Україні.

Незабаром після цього, ІТ-армія зламала Rossgram, російський клон Instagram. Група стверджувала, що зламала її бета-версію бази даних реєстрації, створила фейкову програму Rossgram, надіслала запрошення на реєстрацію на бета-версію та надсилала сповіщення користувачам, які встановили підроблену програму, про те, що Rossgram зламано, і, зрештою, розкрила бета-версію бази даних реєстрації.

Але успіхи та діяльність ІТ-армії не завжди знаходили широку підтримку.

«На мій погляд, було б неправильно [для уряду] схвалювати цю діяльність, але як громадянин, як людина, яка хоче, щоб наша країна перемогла в цій абсолютно безпрецедентній, неймовірній війні у ХХІ столітті, я був би вдячний за їхню допомогу в послабленні нашого ворога. Існування ІТ-армії є «свідченням волі українців захищати свою країну в кіберпросторі», а їхні дії змусили росіян захищатися від кібератак, а це означало, що вони не змогли зосередити всі свої сили на атаках проти нас», – заявив заступник голови Держспецзв’язку Віктор Жора.

Його відомство займається «кіберзахистом» і не координує жодних наступальних дій.

У Міністерстві цифрової трансформації не відповіли на неодноразові запити прокоментувати, чи працюють вони безпосередньо з ІТ-армією. Міністерство, однак, публікує новини діяльності ІТ-армії як у прес-релізі на своєму офіційному сайті, так і в офіційному Telegram-каналі.

Кротофіл зазначила, що, принаймні, спочатку «кіберпростір став сірою нерегульованою територією, де люди з усього світу можуть брати участь і робити все, що їм заманеться», а це означало, що «діяльність волонтерів IT-армії України не регулювалася і, можливо, не завжди керувалась здоровим глуздом, оскільки ці люди були і є цивільними, які не мають належних знань про те, як діяти стратегічно».

«Але з часом це змінилося, волонтери ухвалили «належні «правила поведінки» […], щоб обмежити напади на непов’язані цілі», і діяльність стала більш регламентованою та продуманою, а деякі групи напевно проводили корисні [з відкритим кодом розвідки] роботи чи дозволені операції на території України», – стверджує Кротофіл.

Соесанто зазначає, що ІТ-армія тепер має менше цілей, але вона краще організована та «методологічно структурована».

У той же час такі групи, як IТ-армія, трохи ускладнили відстеження того, що хакери роблять під час конфлікту.

«Кількість аматорів і волонтерів з початку війни в Україні, які намагалися допомогти тій чи іншій стороні, граючи роль «кіберсолдата», іноді ускладнюють відстеження того, що відбувається», – розповідає Шейн Хантлі, керівник групи аналізу загроз Google.

Питання про майбутнє ІТ-армії наразі залишається відкритим.

Одна з причин, чому український уряд не схвалює ІТ-армію, полягає в тому, що певним чином деякі її дії викликають сумніви. Чи правомірно націлюватися на цивільні веб-сайти та компанії під час війни? Наразі західні експерти з кібербезпеки не втручаються, але це може змінитися, особливо якщо ІТ-армія продовжить атакувати Росію після закінчення війни.

«Якщо наратив зміниться на: «Добре, ви завдаєте удару по російській цивільній інфраструктурі, і нас це не влаштовує, тому що це порушує норми та міжнародне право», то я думаю, що це буде свого роду поганий імідж для України», – вважає Соесанто.

Ще надто рано писати повну історію того, що станеться з точки зору хакерства надалі під час війни; безсумнівно, є операції, про які ми не чули або можемо ніколи не почути.

«Туман війни та пропаганда з обох сторін дуже ускладнюють оцінку того, що відбувається в кіберпросторі, окрім хактивізму, IT-армії та фішингових кампаній, які SSSCIP розкриває щотижня. Через рік ми, ймовірно, станемо набагато мудрішими, коли дізнаємось про усі військові кібероперації, яких ми зараз не бачимо і про які нічого не знаємо», – підсумовує Соесанто.