Як воюють армії хакерів на кіберфронті російсько-української війни

Від початку повномасштабного російського вторгнення, Україна щосили намагалася представити себе захисником, а не нападником у кібервійні

Коли Росія розпочала повномасштабне вторгнення в Україну, почалася друга, менш помітна битва у кіберпросторі. Кіберкореспондент ВВС Джо Тайді вирушив до України, щоб поговорити з тими, хто веде кібервійну, і виявив, що конфлікт стирає межі між тими, хто працює на військових та неофіційними хакерами-активістами. Foreign Ukraine пропонує ознайомитись з тим, що йому вдалось дізнатись.

Коли я приїхав відвідати Олександра до його двокімнатної квартири в центрі України, то виявив типову спартанську обстановку, характерну для багатьох хакерів.

Ані меблів, ані домашнього затишку – навіть телевізора – лише потужний комп’ютер в одному кутку його спальні та потужна музична система в іншому.

Звідси Олександр допоміг тимчасово відключити сотні російських веб-сайтів, порушив роботу десятків банків та зіпсував веб-сайти із проукраїнськими повідомленнями.

Він є одним із найвизначніших хакерів в ІТ-армії України — волонтерської хакерської мережі з групою у Telegram, яка налічує майже 200 000 осіб.

Понад рік свого часу він присвятив тому, щоб викликати в Росії якнайбільше хаосу.

Навіть під час нашого візиту він запускав складне програмне забезпечення, намагаючись відключити веб-сайт російського банку.

За іронією долі, він визнає, що ідея його улюбленого хаку насправді почалася з підказки анонімного росіянина, який розповів їм про організацію під назвою «Чесний Знак» — єдину в Росії систему автентифікації продуктів.

Йому сказали, що всі товари, виготовлені в Росії, зокрема свіжі продукти, повинні скануватися на наявність унікального номера та штрих-коду, які надає компанія, з моменту їх створення на заводі і до моменту продажу у магазині.

Олександр усміхається, розповідаючи, як він та його команда знайшли спосіб відключити сервіс, використовуючи хакерський інструмент, який наповнює комп’ютерну систему інтернет-трафіком, відомий як цільова атака DDoS (розподілена відмова в обслуговуванні).

«Я думаю, що економічні втрати були досить високими. Це було дивно», — каже Олександр.

Насправді, важко оцінити збій, спричинений зломом, але протягом чотирьох днів у квітні 2023 року «Чесний Знак» регулярно публікував оновлення про DDoS-атаку на своїй офіційній стрічці у Telegram. Трейдерам було запропоновано поради й телефон довіри, за яким можна звернутися за допомогою.

**Олександр не боїться російських репресій і відмовляється приховувати свою особу**

Зрештою, Міністерство промисловості й торгівлі Росії було змушене пом’якшити деякі правила маркування харчових продуктів, щоб дозволити торгівлю продуктами, які швидко псуються.

Зовсім недавно, приблизно у перші роковини російського вторгнення в Україну, Олександр приєднався до команди хакерів під назвою One Fist, щоб атакувати російські радіостанції й транслювати там звуки фальшивих сирен повітряної тривоги та попереджувальне повідомлення, яке закликає громадян сховатися.

Багато експертів передбачали, що такі люди, як Олександр — хактивісти, можуть зіграти свою роль в російсько-українській війні, але масштаби цієї діяльності стали шоком — з обох боків з’являються армії хакерів.

Офіційно Україна захищається від кібератак за допомогою західних кібервоєнних команд та приватних компаній з кібербезпеки, які фінансуються за рахунок пожертвувань у мільйони доларів.

Але починають виникати і неофіційні зв’язки між групами самооборони, які переходять у наступ і чинять злочинні напади, та військовими чиновниками.

З обох боків, грань між цілеспрямованими, санкціонованими державою кібератаками та випадковим хакерським зломом була розмита. Наслідки можуть бути далекосяжними.

Під час візиту до штаб-квартири кіберзахисту України у Києві офіційні особи заявили про наявність доказів того, що російська банда хактивістів Killnet, яка має групу у Telegram, що налічує майже 100 000 осіб, безпосередньо співпрацює з кіберпідрозділом російських збройних сил.

«Ці групи, такі як Killnet або Кіберармія Росії, починали із DDoS-атак, але з того часу до них приєдналися талановитіші та найдосвідченіші люди», — каже Віктор Жора, заступник голови Держспецзв’язку України.

Він стверджує, що угруповання мають консультантів серед російських військових, і тепер вони здатні проводити витончені кібератаки.

За його словами, російські командири об’єднують усі групи та дії хактивістів у єдине джерело агресії у кіберпросторі проти України та її союзників.

Зв’язок буде проблематичним для Росії, якщо його буде доведено.

Після вторгнення в Україну, Росія стала відносно цілеспрямованою у своїх кібератаках, дотримуючись українських цілей, які слабко пов’язані з військовими діями.

Але Killnet закликав і здійснив руйнівні, хоча і тимчасові атаки на веб-сайти лікарень як в Україні, так і в союзних країнах.

Женевська конвенція забороняє такі напади на цивільне населення. Але Женевської конвенції про кібервійни немає. Міжнародний комітет Червоного Хреста стверджує, що мають застосовуватися існуючі кодекси, тому, наприклад, завдання ударів по лікарнях буде порушенням.

Той факт, що атаки хакерів здійснюються на країни НАТО, також може викликати колективну відповідь, якщо вони завдадуть серйозної шкоди.

Російський уряд не відповів на запити ВВС про коментарі, тому натомість ми звернулися безпосередньо до лідера Killnet, відомого під псевдонімом Killmilk.

Кіллмілк відмовився брати участь в очному інтерв’ю, але після кількох тижнів повідомлень у Telegram надіслав відеовідповіді на наші запитання – перед тим, як перервати спілкування.

У своїх записах Killmilk вихваляється, що хакери присвячують Killnet по 12 годин на день.

«Я не бачу рівних російським хакерам у світі. Бездарним і дурним українським хакерам не вдасться нам протистояти», — каже він.

Кіллмілк наполягав на тому, що його група повністю незалежна від російських спецслужб, стверджуючи, що він працює вантажником на заводі і є «простою людиною».

«Хоч би де я був, мій ноутбук і все, що мені потрібно, завжди зі мною. При цьому я мобільний і працездатний і майже весь час присвячую нашому руху», – каже Кіллмілк.

У той час як деякі групи хактивістів, такі як сумнозвісний колектив Anonymous, в останні три місяці сповільнили дії проти Росії і продовжили свою діяльність, Killnet активізувала свою діяльність і також зосередила свою увагу на НАТО і США.

У великодні вихідні канал Killnet у Telegram був використаний для створення спливаючої команди під назвою KillNATO Psychos. Упродовж кількох годин він налічував сотні членів і почав проводити хвилю атак, які тимчасово порушили роботу веб-сайтів у країнах-членах НАТО. Група також опублікувала список адрес електронної пошти співробітників НАТО і закликала людей переслідувати їх.

Твердження про те, що російські кібервійська працюють зі злочинними хактивістами, не стане шоком для багатьох у світі кібербезпеки, який протягом багатьох років звинувачував Росію у приховуванні деяких із найплодючіших і найприбутковіших кіберзлочинних груп.

Проте, наш візит до України підтвердив, що й там межі стираються.

**Роман, який став солдатом, вважає, що кіберфронт відіграє величезну роль у військових зусиллях**

Рік тому, коли Київ готувався до нападу, Роман допомагав здійснювати кримінальні зломи та створювати програмне забезпечення для воєнних дій — у складі добровільної групи, яку він заснував під назвою IT Stand for Ukraine.

Але тепер його офіційно завербовано кібервійськами своєї країни.

Ми зустрілися у парку біля його тренувального штабу у Житомирі.

Як хактивіст, який став військовим, Роман має унікальну перспективу.

Він вирішив не вдаватися у деталі своєї нинішньої роботи, але каже, що частина його роботи полягає в тому, аби знайти способи прочесати гори даних та інформацію про кібервійну.

Ще до того, як його завербували, Роман підтверджує, що його команда хакерів працювала безпосередньо з українською владою.

«Ми почали спілкуватися з державними силами, які роблять те саме, що і ми, і почали синхронізувати наші операції. По суті вони почали ставити нам якісь цілі і говорити, що і коли робити», — каже він.

Роман каже, що одна із найсерйозніших атак сталася, коли його команда відключила квиткові автомати на залізничній мережі на півдні Росії.

На питання про збій, який це викликало б у звичайних людей у Росії, Роман знизує плечима.

Це така атака, яку українські кібервійськові ніколи б не змогли публічно здійснити самостійно.

З самого початку повномасштабного російського вторгнення, Україна щосили намагалася представити себе захисником, а не нападником.

Чи могли українські кіберкомандири використати хактивістів, щоб протягнути лінію фронту до російської держави?

Михайло Федоров, віце-прем’єр-міністр України та міністр із цифрової трансформації відповідає за відомство, яке викликало суперечки про створення групи у Telegram для ІТ-армії України.

З того часу уряд стверджує, що не має жодного стосунку до мережі хактивістів.

**Михайло Федоров вважає кібератаки хактивістів виправданими**

Федоров заперечує звинувачення у тому, що він заохочує наступальні напади на російські цивільні об’єкти.

Але впевнений, що Україна має «моральне право зробити все можливе для захисту життя наших громадян».

«Я думаю, за рік повномасштабної війни українські хакери показали, що, незважаючи на таке вторгнення, вони діють досить етично — і не завдають надмірної шкоди жодним суб’єктам, окрім суб’єктів Російської Федерації, які залучені до війни, — каже він.

Але українські хактивісти не просто зламують російську військову машину.

Незважаючи на те, що українська армія не потурає нападам на заклади охорони здоров’я, зломи організовуються, щоб завдати якнайбільше незручностей росіянам.

Один із координаторів ІТ-армії України Тед із гордістю показав нам свою колекцію гнівних коментарів від пересічних російських клієнтів, які за підсумками своєї діяльності зіткнулися зі збоями.

На його веб-сайті є таблиця лідерів серед хакерів – я питаю, чи могла його група «гейміфікувати» кримінальні атаки хакерів – і чи створювало це небезпеку ескалації.

«З погляду західних законів, я думаю, так, є небезпека гейміфікації незаконного хакерства. Але нам потрібно усвідомити, що коли у вашу країну приходить війна, немає добрих чи поганих способів боротьби», – підкреслює Тед.

Українські офіційні особи кажуть, що найстрашніші атаки походять не від хактивістів, а від російських військових, які координують кібератаки з фізичними атаками на такі цілі, як енергомережі.

Повернувшись до штаб-квартири українського кіберзахисту, Жора каже, що Росії досі не вдавалося проводити кібератаки, яких побоювалися експерти, але це не через брак зусиль, і їхні атаки були б більш руйнівними, якби Україна була слабкішою.

Деякі джерела також повідомили, що Україна постраждала від російських хакерів сильніше, ніж визнає її командування.

Як і в усіх аспектах війни, туман війни важко збагнути, особливо у кіберпросторі.