У кіберполіції України розповіли про відстеження воєнних злочинів російських солдатів, моніторинг потоку криптовалюти, яка фінансує війну; викриття кампаній дезінформації; розслідування атак програм-вимагачів; та навчання громадян передовим практикам кібербезпеки

24 лютого 2022 року російські війська напали на Україну. З того часу життя в країні змінилося для усіх. Для українських збройних сил, яким доводилося захищати свою країну, для звичайних громадян, яким доводилося протистояти вторгненню та постійним обстрілам, а також для кіберполіції України, якій довелося змінити фокус та пріоритети. У Кіберполіції працює майже 1000 співробітників, з яких близько 40 відстежують злочини, пов’язані з криптовалютою. До обов’язків кіберполіції входить боротьба зі всіма проявами кіберзлочинності у кіберпросторі. Євген Панченко, начальник відділу Департаменту кіберполіції Національної поліції України в інтерв’ю TechCrunch розповів про нові обов’язки кіберполіції в Україні під час війни, зокрема відстеження воєнних злочинів, які російські солдати вчиняють у країні, і які іноді публікують у соціальних мережах; моніторинг потоку криптовалюти, яка фінансує війну; викриття кампаній дезінформації; розслідування атак програм-вимагачів; та навчання громадян передовим практикам кібербезпеки. Foreign Ukraine пропонує ознайомитись з його думками.

TechCrunch: Як змінилася ваша робота та робота поліції після вторгнення?

Євген Панченко: Майже повністю змінилась. Оскільки ми ще маємо деякі регулярні завдання, які завжди виконуємо, тому несемо відповідальність за усі сфери кіберрозслідувань. Нам потрібно було перевести частину наших підрозділів у різні місця, звісно, ​​до якихось складних організацій, бо тепер нам треба працювати окремо. А також ми додали кілька нових завдань та нових сфер відповідальності, коли розпочалася війна. Зі списку нових завдань, які у нас є, ми прагнемо отримати більше інформації про російських солдатів. Ми ніколи цього не робили. У нас не було жодного досвіду до лютого 2022 року. І тепер ми намагаємося зібрати усі докази, які маємо, тому що російські содати теж адаптувалися і почали ховатися, наприклад, свої сторінки у соціальних мережах, які ми використовували для розпізнавання людей. Також ми несемо відповідальність за виявлення та розслідування випадків атак російських хакерів на Україну. Вони атакують нашу інфраструктуру, іноді псують інформацію, а також намагаються порушити роботу нашої інформації загалом. Тож це зовсім інша сфера. Оскільки ми не маємо жодної співпраці з російськими правоохоронними органами, тому іноді нелегко ідентифікувати або знайти інформацію про IP-адреси чи інші речі. Нам необхідно знайти нові способи співпраці щодо обміну даними з нашими спецслужбами. Деякі підрозділи також відповідають за захист критичної інфраструктури у кіберсфері. Це також важливе завдання. І сьогодні багато атак також націлені на критичну інфраструктуру. Не тільки ракети, але й хакери намагаються отримати дані та знищити деякі ресурси.

TechCrunch: Коли ми думаємо про солдатів, ми думаємо про дії у фізичному вимірі. Але чи є злочини, які російські солдати вчиняють у мережі?

Євген Панченко: [Росія] використовує соціальні мережі, щоб іноді робити фотографії та публікувати їх в Інтернеті, як це було зазвичай на першому етапі війни. Коли почалася війна, місяці три-чотири, напевно, російські солдати публікували усе: відео та фотографії з тимчасово окупованих міст. То були докази, які ми зібрали. А іноді вони також знімають відео, коли стріляють у місті або використовують танки чи іншу техніку зі справді великими гарматами. Є деякі свідчення того, що вони не вибирають ціль, а просто стріляють навмання. Це відео ми також зібрали та включили до розслідувань, які наше відомство проводить проти росіян.

TechCrunch: Іншими словами, шукаєте докази воєнних злочинів?

Євген Панченко: Так.

TechCrunch: Як змінилася ситуація із програмами-вимагачами в Україні після вторгнення РФ?

Євген Панченко: Ситуація змінилася, тому що Росія тепер зосереджена не лише на фінансовому аспекті; їхня головна мета – показати громадянам і, можливо, якомусь державному сектору, що [Росія] справді ефективна та сильна. Якщо вони мають доступ на першому рівні, вони не пірнають глибоко, а просто знищують ресурси і намагаються дефейсити, просто щоб показати, що вони дійсно сильні. У них є справді ефективні хакери та групи, які за це відповідають. Зараз у нас не так багато справ, пов’язаних із вимаганням, у нас багато справ, пов’язаних із атаками, спрямованими на підрив діяльності.

TechCrunch: Чи важче відрізнити проросійських злочинців від російських урядових хакерів?

Євген Панченко: Справді складно, бо їм не подобається виглядати як урядова структура чи якісь військові підрозділи. Вони завжди знаходять справді химерне ім’я, наприклад, «Fancy Bear». Вони намагаються приховати свою справжню природу. Але ми бачимо, що після початку війни їхні військові та спецслужби почали організовувати групи — можливо, вони не такі ефективні і не такі професійні, як деякі групи, які діяли до початку війни. Але вони організують групи у масовому [масштабі]. Вони починають з пошуку нових партнерів, дають їм невеликі завдання, а потім дивляться, чи ефективні вони і чи справді процвітають у невеликій частині ІТ-знань. Потім вони просуваються вперед та виконують нові завдання. Тепер ми можемо побачити результати багатьох програм, які вони також публікують в Інтернеті. Деякі з них не мають стосунку до дій урядів або розвідувальних груп, але вони оприлюднюють цю інформацію. Вони також використовують власні медіа-ресурси, щоб підвищити ефективність атаки.

TechCrunch:  Чим зараз займаються проросійські групи хакерів? На якій діяльності вони зосереджені? Ви згадали про пошкодження критичної інфраструктури; чи є ще щось, що ви відстежуєте?

Євген Панченко: Все починається з базових атак, таких як DDoS, щоб знищити засоби зв’язку і спробувати знищити канали, які ми використовуємо для спілкування. Потім, звичайно, псування. Крім того, вони збирають дані. Іноді вони публікують це у відкритих джерелах. А іноді вони, ймовірно, збирають, але не використовують їх з метою порушення роботи або для того, аби показати, що вони вже мають доступ. Іноді ми знаємо про ситуацію, коли запобігаємо злочину, а також нападу. Ми маємо деякі ознаки компромісу, які, ймовірно, були використані щодо одного уряду, а потім ми ділимося ними з іншими. [Росія] також створює багато каналів психологічної допомоги. Іноді атака не мала успіху. І навіть якщо вони не мають жодних доказів, вони скажуть: «У нас є доступ до системи військових структур України».

TechCrunch:  Як ви плануєте переслідувати цих хакерів? Деякі знаходяться за межами країни, а деякі всередині країни.

Євген Панченко: Це найгірше, що ми маємо зараз, але така ситуація може змінитися. Нам потрібно зібрати усі докази, а також провести розслідування, наскільки це можливо. А також ми інформуємо інші правоохоронні органи у країнах, які з нами співпрацюють, про осіб, яких ми ідентифікуємо як частину угруповань, які вчинили напади на територію України чи нашу критично важливу інфраструктуру. Чому це важливо? Бо якщо говорити про якогось кадрового солдата російської армії, то він, певно, ніколи не приїде до Євросоюзу та інших країн. Але якщо говорити про якихось розумних хлопців, які вже мають великі знання у наступальному хакерстві, то він вважає за краще переїхати у тепліші місця, а не працювати з Росії. Оскільки його могли завербувати до армії, могли статися й інші речі. Ось чому так важливо зібрати усі докази та усю інформацію про людину, а потім довести, що вона була причетна до якихось нападів, і поділитися цим з нашими партнерами.

TechCrunch: Чим займаються кіберволонтери і яка їхня роль?

Євген Панченко: У нас сьогодні не так багато людей, які є волонтерами. Але це справді розумні люди з усього світу — США та Євросоюзу. Вони також мають деякі знання в галузі інформаційних технологій, іноді в аналізі блокчейна. Вони допомагають нам проводити аналіз проти росіян, збирати дані про гаманці, які вони використовують для кампаній зі збору коштів, а іноді також інформують нас про нову форму чи нову групу, яку створюють росіяни для координації своєї діяльності. Це важливо тому, що ми не можемо охопити все, що відбувається. Росія — справді велика країна, є багато угруповань, багато людей залучено у війну. Така співпраця з волонтерами зараз дуже важлива, особливо тому, що вони також краще знають місцеві мови. Іноді ми маємо волонтерів, які справді близькі російськомовним країнам. Це допомагає нам зрозуміти, що саме вони роблять. Існує також спільнота ІТ-фахівців, які також безпосередньо спілкуються з нашими волонтерами. Це важливо, і нам дуже подобається запрошувати інших людей до цього заняття. Це не незаконно або щось таке. Вони просто надають інформацію та можуть сказати нам, що можуть зробити.

TechCrunch: А як щодо проукраїнських хакерів, як-от Українська ІТ-армія? Ви просто дозволяєте їм робити те, що вони хочуть, чи вони також є потенційними об’єктами розслідування?

Євген Панченко: Ні, ми з ними безпосередньо не співпрацюємо. Ми маємо ще один проект, у якому також бере участь багато людей. Єдине, що ми пропонуємо, — це заблокувати та знищити російську пропаганду та психологічні операції в Інтернеті. Ми дійсно діяли ефективно і досягли справді великих результатів. Ми заблокували понад 27 000 інтернет-ресурсів, які належать Росії. Вони публікують свої розповіді, публікують безліч матеріалів із психології. І сьогодні ми також додали кілька нових функцій до нашої спільноти. Ми не лише боремося із пропагандою, ми боремося і з шахрайством на території України, до якого мають причетність росіяни. Вони також мають великий вплив на це, адже якщо вони відмивають та забирають гроші у наших громадян, ми могли б допомогти. І саме тому ми включаємо ці заходи, щоб активно реагувати на історії, які отримуємо від наших громадян, від наших партнерів щодо нових видів шахрайства, які можуть відбуватися в Інтернеті. А також ми проводимо навчання наших громадян з питань кібергігієни та кібербезпеки. Це важливо і сьогодні, тому що російські хакери не лише націлені на критичну інфраструктуру чи урядові структури, але й намагаються отримати деякі дані наших людей. Наприклад, Telegram. Зараз це не велика проблема, але для нас це новий виклик, тому що вони спершу надсилають цікавий матеріал, просять людей спілкуватись чи взаємодіяти з ботами. У Telegram можна створювати ботів.

TechCrunch: Чи відбувається шахрайство з метою збирання коштів на війну?

Євген Панченко: Так.

TechCrunch: Чи можете ви розповісти більше про збирання коштів у Росії? Де вони це роблять, і хто їм дає гроші? Чи використовують вони блокчейн?

Євген Панченко: Криптовалюта може дати їм деякі переваги, а також недоліки. Насамперед, [росіяни] багато використовують криптовалюту. Вони виробляють практично всі види гаманців. Все починається з Біткойна та закінчується Монеро. Тепер вони розуміють, що деякі види криптовалют є дійсно небезпечними для них, оскільки багато бірж співпрацюють, а також конфіскують кошти, які вони збирають, аби допомогти своїм військовим.

TechCrunch: Як ви ставитеся до такого збирання коштів?

Євген Панченко: Якщо вони використовують криптовалюту, ми маркуємо адреси та встановлюємо певну атрибуцію. Це наша головна ціль. Це також той вид діяльності, де нам допомагають волонтери. Ми справді ефективні у цьому. Але якщо вони використовують якісь банки, нам залишається лише зібрати дані та зрозуміти, хто саме відповідає за цю кампанію. Санкції – єдиний добрий спосіб зробити це.

TechCrunch: Що таке кіберспротив?

Євген Панченко: Кіберспротив є для нас великим викликом. Ми хотіли розіграти цей кіберспротив у кіберпросторі для наших користувачів, для наших ресурсів. Насамперед, якщо ми говоримо про користувачів, ми починаємо з навчання, а також ділимося деякими порадами та знаннями з нашими громадянами. Ідея у тому, як можна реагувати на атаки, які очікуються у майбутньому.

TechCrunch: Як російський уряд використовує криптовалюту після вторгнення в Україну?

Євген Панченко: Вони створюють нові способи відмивання грошей, щоб запобігти приписуванню адрес, які вони використовували для своєї інфраструктури, а також для виплати чи отримання коштів. У криптографії дуже легко створити багато адрес. Раніше так не робили, а зараз часто користуються цим.