Володимир Тиравський

Як Україна завдала нищівної поразки Росії у кібервійні

Факторами успіху України у кіберпросторі стали ретельна підготовка до хакерських атак з 2014 року, безпрецедентна технологічна допомога країн Заходу та некомпетентність росіян

24 лютого 2022 року росіяни атакували Україну на морі, на суші, у повітрі та у кіберпросторі. Це перша війна, в якій агресор масово використовував зловмисне програмне забезпечення, щоб паралізувати оборону України і підтримати власні атакуючі сили. Утім, російський кібернаступ провалився, оскільки Україна готувалася до війни і на цьому фронті. Про це йдеться в аналітичній публікації Анджея Козловського, експерта з кібербезпеки та дезінформації, доктора політичних наук на сторінках польського видання ONET, переказ якої пропонує Foreign Ukraine.

У 2014 році Росія незаконно анексувала Крим, а потім напала на Луганську та Донецьку області, де зіткнулася зі збройним опором української армії. Домовленості, укладені у Мінську у вересні 2014 року та лютому 2015 року, не врегулювали суперечку, і на тимчасовому кордоні між російськими сепаратистами та Україною постійно була стрілянина. Водночас Росія створила український полігон у кіберпросторі.

У 2015 і 2016 роках посеред зими росіянам вдалося відключити мільйони українців від світла. Однак, кульмінацією став 2018 рік і атака з використанням шкідливого ПЗ NotPetya, яка паралізувала роботу українського уряду, підприємств та інфраструктури. На перший погляд, NotPetya був ще одним прикладом шифруючого програмного забезпечення-вимагача [яке дозволяє повторно отримати доступ до скомпрометованих даних після сплати викупу – прим ред.], однак на практиці виявилося, що це вайпер, тобто шкідливе програмне забезпечення, яке знищує дані. Напад швидко перетнув кордони України та поширився на весь світ. Постраждали глобальні компанії, такі як фармацевтична компанія Merck, виробник продуктів харчування Mondelez і транспортні компанії FedEx, TNT Express і Maersk. Білий дім оцінив збитки у 10 мільярдів доларів.

Окрім цих вражаючих і небезпечних атак, російськими хакерами також була здійснена велика кількість набагато менших інцидентів. Проте, ці дії дозволили українцям ближче познайомитися зі своїм супротивником, його технікою та методами дії, що виявилося надзвичайно важливим під час повномасштабного вторгнення Росії.

Прелюдія до російського вторгнення

Початок 2022 року та численні дипломатичні зусилля та посилення риторики Кремля вказували на те, що вторгнення стає дедалі ймовірнішим. Це підтвердили сигнали, що надходять із кіберпростору. На початку січня 2022 року на сайти уряду України відбулися DDoS-атаки (Distributed Denial of Service). Їх швидко відбили, і домени відновили роботу. Втім, це була прелюдія до більш серйозних дій.

У ніч з 23 на 24 лютого 2022 року російська військова розвідка провела операцію проти американської компанії Viasat, яка надає високошвидкісний широкосмуговий супутниковий доступ комерційним і військовим замовникам. Десятки тисяч терміналів компанії були пошкоджені. Українські військові використовували їх як резервний зв’язок, а головною метою російської операції було позбавити їх зв’язку – що підтвердили у спільній заяві ЄС, Великої Британії та США. Застосування засобів радіоелектронної боротьби разом із кібератакою на Viasat призвело до проблем зі зв’язком військ, які захищали Київ. В інших країнах ЄС атака порушила роботу тисяч компаній, а лише у Німеччині призвела до збою 5,8 тисяч вітрових турбін.

Проте, проблему зв’язку з українськими захисниками вдалося швидко вирішити шляхом негайної поставки телекомунікаційної супутникової системи виробництва американської компанії Ілона Маска SpaxeX. Starlink забезпечила безпечне та ефективне спілкування, виявившись стійкою до діяльності російських хакерів та інших збоїв.

На початку вторгнення росіяни також атакували головного українського інтернет-провайдера «Тріолан» і найбільшого українського телекомунікаційного оператора «Укртелеком», намагаючись порушити український зв’язок і отримати домінування в інформаційному середовищі, що відповідало російській інформаційній доктрині. Як наслідок, користувачі «Тріолана» та «Укртелекому» постраждали від тимчасових перебоїв у наданні інтернет-послуг. Внутрішні пристрої компаній перестали працювати через те, що російські хакери змусили їх скинути заводські налаштування. Відновлення інтернет-послуг виявилося значно ускладненим через постійні російські повітряні атаки й тривало кілька днів.

Масована атака зловмисного програмного забезпечення

За перші чотири місяці війни росіяни використовували 8-10 різних типів шкідливих програм для очищення даних, призначених для знищення збережених даних. Цілями атак було майже 50 різних українських установ і підприємств. У деяких випадках спостерігалися тимчасові труднощі з роботою, але вони були швидко вирішені. Масштаби цієї атаки були величезними, оскільки Росія використовувала таку ж кількість шкідливих програм за попередні 6 років.

У міру того, як війна тривала, кількість атак та їх серйозність зменшилися, і у серпні та вересні 2022 року не було зафіксовано жодної активності зловмисного програмного забезпечення. Заступник голови Державної служби спеціального зв’язку та захисту інформації України Віктор Жора зазначив, що з розвитком війни російські атаки ставали менш прогресивними та скоординованими, що підтверджує спостереження стосовно використання програмного забезпечення для видалення. Експерти американського аналітичного центру Carnegie вважають, що зниження витонченості російських кібератак стало наслідком необхідності перебудови власних наступальних можливостей через те, що використовувані шкідливі програми стали розпізнавати антивірусні програми. На це також вплинули кібератаки українців та хакерів з усього світу, спрямовані проти Росії, що призвело до необхідності залучення сил для захисту російських систем.

Анджей Козловський

Одним із найважливіших об’єктів російських атак в Україні став енергетичний сектор. До кінця 2022 року українці зафіксували 84 спроби проникнення у мережі та системи за допомогою передового шкідливого програмного забезпечення, призначеного для зриву електропостачання. Наприклад, жертвою хакерів і російських військових стала найбільша українська компанія в енергетиці «ДТЕК». Однак, на відміну від 2015 і 2016 років, цього разу операції провалилися. Українці винесли уроки з минулого і, безумовно, були краще підготовлені. Вони вклали значні кошти у покращення кібербезпеки, особливо в енергетичному секторі.

Атакам також піддавалися суб’єкти логістики, транспорту та сільського господарства, але з часом інтенсивність операцій знизилася. Традиційні кінетичні заняття виявилися набагато ефективнішими.

Кіберелемент російської військової машини

З самого початку повномасштабного вторгнення були деякі ознаки того, що діяльність у кіберпросторі координується з операціями, які проводять регулярні війська. Напередодні захоплення Запорізької АЕС у березні 2022 року російські хакери зламали її мережу у пошуках інформації. Схожий інцидент стався у Вінницькій області, де 4 березня 2022 року хакери зламали державні системи, а через чотири дні вісім ракет влучили в аеропорт у цьому районі.

Подібна ситуація могла бути 29 квітня 2022 року, коли атакували залізничну інфраструктуру поблизу Львова. Кінетичній атаці передувала операція у кіберпросторі. Не виключено, що росіяни знайшли інформацію про те, що цього дня буде транспортуватися зброя із Заходу (дати та маршрути військових транспортів секретні), і вирішили її знищити. Через високу інформаційну дисципліну України невідомо, чи досягли росіяни свого.

Операції у кіберпросторі також мали на меті полегшити відступ російських військ з Києва та затримати просування українських військ на схід країни. Тому закономірною мішенню стали системи та мережі транспортних організацій, розташовані на заході та у центрі України.

Окрім використання шкідливих програм, призначених для знищення даних, протягом перших чотирьох місяців вторгнення росіяни провели понад 240 шпигунських операцій у кіберпросторі, основною метою яких було викрадення інформації. Отримані дані могли допомогти російським військовим у стратегічному плануванні, виборі цілей, зайнятті окупованих районів, переговорах і проведенні оперативних дій. Але ефективність операцій кібершпигунства неможливо чітко перевірити через те, що немає публічної інформації про те, чи були вони успішними та яку інформацію було отримано. Однією з найактивніших організацій була російська хакерська група Turla, яка була ідентифікована лише на початку 2023 року. Її діяльність була зосереджена в основному на урядових документах, створених після 1 січня 2021 року. Останнім часом діяльність російського кібершпигунства була зосереджена в основному на поточному українському контрнаступі, але важко оцінити, чи отримали росіяни якусь інформацію, яка могла б вплинути на його хід.

Об’єктом нападів є Захід

Росія також використовувала операції у кіберпросторі проти країн Заходу, які брали участь у масштабній допомозі Україні. До них належать фішингові операції, під час яких, наприклад, російські хакери намагалися видати себе за довірених людей або установи та спонукати отримувачів їхніх повідомлень клацати вкладений файл, який містив шкідливе програмне забезпечення. Такі дії були спрямовані проти урядових і військових установ у Польщі, ядерних дослідницьких лабораторій Брукхейва, Аргонна та Лоренса у Сполучених Штатах, установ НАТО та аналітичних центрів, які займаються питаннями безпеки та міжнародної політики. Більшість цих атак були спрямовані на отримання інформації.

Також росіяни проводили операції зі шифрування даних. Наприкінці 2022 року у звіті Microsoft вказувалося на загрозу нового програмного забезпечення для шифрування Prestige, яке, окрім українських організацій, також вразило цілі у Польщі. Але Microsoft не надала жодних подробиць у своєму звіті.

Це лише деякі з атак, спрямованих на західні країни, тому так важливо надавати увагу кібербезпеці. Що може статися, якщо росіяни здійснять успішну кібератаку? Про такий сценарій свідчить, наприклад, аварія на польській залізниці, яка сталася 17 березня 2022 року. Вона призвела до паралічу, який зупинив рух сотень потягів по всій Польщі. Спочатку припускали, що причиною стала кібератака, але потім виявилося, що із 33 локальних центрів управління вийшли з ладу 19. У цьому випадку вийшло з ладу ІТ-обладнання, але подібного ефекту можна було досягти за допомогою кібератаки.

Чому росіяни не зламали кіберзахист України?

Повномасштабне вторгнення та пов’язані з ним масові кібератаки, ймовірно, найбільші в історії, не здолали український кіберзахист. Це здивувало, наприклад, генерал-майора та командувача Силами оборони кіберпростору Кароля Моленду, який сказав під час круглого столу на Міжнародному форумі з кібербезпеки у французькому Ліллі у червні 2022 року, що він очікує цифрового еквівалента Перл-Харбора. Він також додав, що українці показали, що можна готуватися до конфлікту у кіберпросторі. На їхній успіх вплинуло кілька факторів.

По-перше, протягом восьми років, починаючи з 2014 року, Україні доводиться мати справу з різними операціями у кіберпросторі, які проводять російські хакери. За цей час вона познайомилася зі своїм опонентом, його методами роботи, використовуваним шкідливим програмним забезпеченням і зробила значні інвестиції в кіберзахист, покращивши захист власних мереж і систем, особливо у секторі критичної інфраструктури, і збільшивши кількість експертів з кібербезпеки. Наприклад, один із найбільших телекомунікаційних операторів України збільшив кількість людей, відповідальних за кібербезпеку, на дві третини між 2015 і 2022 роками, а українська енергорозподільча компанія «Укренерго» лише за два роки витратила 20 мільйонів доларів на інвестиції в системи кіберзахисту. Важливі зміни відбулися і у законодавстві, наприклад, у 2016 році в Україні було ухвалено Національну стратегію кібербезпеки, положення якої були ефективно імплементовані. Також відбулися інституційні зміни і у 2021 році було створено Кіберцентр UA30, який координує діяльність суб’єктів, відповідальних за кіберзахист.

Другий фактор – це безпрецедентна допомога Заходу. Україна також отримала фінансову підтримку США у розмірі 40 мільйонів доларів на розвиток кіберзахисту, а Командування кіберпростору США (USCYBERCOM) скерувало свою команду в Україну для зміцнення та обміну ноу-хау. Американці разом з українцями намагалися відстежити та виявити зловмисну ​​діяльність в українських мережах і системах, яка може свідчити про злом. Крім того, американці провели для українців навчання з використання інноваційних технологій кіберзахисту. Останні члени USCYBERCOM покинули Київ напередодні російського вторгнення. Тож вони все ще були на місці, коли у січні 2022 року почалися російські кібератаки, допомагали їх аналізувати та обмінювалися інформацією з агентствами у Сполучених Штатах. Незважаючи на те, що в Україні немає американських солдатів, USCYBERCOM бере участь у допомозі українцям, ділячись, серед іншого, інформацією про атаки.

Допомагали також естонці, поляки та інші члени НАТО. Такі приватні компанії, як американські Microsoft, Google і Amazon, залучилися в безпрецедентному масштабі, надаючи свої хмарні сервіси для зберігання інформації від українського уряду, обміну даними про зловмисне програмне забезпечення та надання інших функцій, які підвищують кібербезпеку. Словацька компанія з кібербезпеки ESET, яка чудово знає шкідливе програмне забезпечення, що працює у Центральній та Східній Європі, також зіграла важливу роль. Ніколи раніше приватний сектор не залучався до таких масштабів.

Зрештою, відповідальність за успіхи українського кіберзахисту лежить і на росіянах, а саме за погано проведену військову операцію та переоцінку власних сил. По-перше, росіяни не мають еквівалента американських чи європейських кібервійськ, які могли б здійснювати операції у кіберпросторі у тісній взаємодії зі звичайними військами. Операції в Україні проводили групи, пов’язані з ГРУ, ФСБ і СВР, тому важко уявити, наприклад, ефективну співпрацю між армією та цивільною розвідкою та контррозвідкою, особливо у Росії, де ці середовища сильно конкурують між собою. Іншим важливим питанням був той факт, що лише невелика група людей знала про вторгнення в Україну, про що писав, серед інших, Оуен Метьюз у своїй книзі Overreach: The Inside Story of Putin and Russia’s War Against Ukraine, хакери не встигли ретельно підготувати операцію.

Резюме

Незважаючи на відсутність значних успіхів російських хакерів під час повномасштабного вторгнення в Україну, їх не варто недооцінювати. Вони є гнучкими і готові адаптувати свої методи та шкідливі програми, які вони використовують, до мінливих умов. Росіяни відновлюють свої можливості і зосереджуються на інших цілях. Наразі, як повідомляє Держспецзв’язку України, більша увага приділяється кібершпигунству, в якому росіяни мають великий досвід і успіхи. На сторожі має бути не лише Україна, але й країни, які її підтримують у війні, зокрема, насамперед, Польща, яка стала ключовим хабом для України.