Кібервійна росії проти України
На міжнародної конференції з кібербезпеки, яка на початку грудня відбулася у Києві, війну в Україні назвали першою в історії війною у кіберпросторі. Але ще задовго до повномасштабного вторгнення протистояння між Україною та росією набуло формату гібридної війни. SPEKA розповідає про етапи протистояння.
Окрім економічних утисків, фінансування сепаратистів та неформального введення армії рф у Крим та на Донбас, війна тривала і у віртуальному вимірі. Росія ще до Майдану та Революції Гідності намагалася використовувати хакерські атаки, щоб заволодіти певною інформацією або як засіб політичного тиску.
Що таке кібервійна
Кібервійна — це конфлікт, що триває у цифровому просторі за допомогою комп’ютерних технологій. Мета — дестабілізація інфраструктури супротивника, збирання розвідданих, а також знищення або пошкодження критично важливих комп’ютерних систем і мереж. Це застосування атак заради отримання переваги над противником або завдання шкоди його економіці, обороні та національній безпеці.
На відміну від інформаційних атак, що зосереджені на поширенні дезінформації, пропаганди або на впливі на громадську думку, кібервійна охоплює ширший спектр, як-от зломи систем, шпигунство, зараження шкідливим ПЗ, викрадення даних.
Типи атак
Спеціалісти виділяють декілька напрямів кібервійни, до яких відносять не тільки використання технічних засобів, але й інформаційні операції.
Шпигунство
Стеження за іншими країнами з метою викрадення конфіденційної інформації. Для цього використовуються ботмережі або фішингові атаки для компрометації чутливих комп'ютерних систем.
Атаки на відмову в обслуговуванні (DoS, DDoS)
DoS-атаки перешкоджають законним користувачам отримати доступ до сайту, засипаючи його фальшивими запитами і змушуючи обробляти їх. Цей тип атак використовується для порушення роботи критично важливих операцій і систем, а також для блокування доступу до важливих сайтів для цивільних осіб, військовослужбовців, співробітників служб безпеки або науково-дослідних установ.
Електричні мережі
Атаки на електромережу дозволяють зловмисникам виводити з ладу критичні системи, порушувати роботу інфраструктури та, навіть, потенційно спричиняти тілесні ушкодження. Атаки на електромережу також можуть порушити комунікації і зробити недоступними такі послуги, як текстові повідомлення і зв'язок.
Пропагандистські атаки
Спроби контролювати свідомість і думки людей, які живуть у країні-мішені або воюють за неї. Пропаганда може бути використана для викриття незручної правди, поширення брехні, щоб змусити людей втратити довіру до своєї країни або стати на бік ворогів.
Фінансові збої
Зловмисники атакують комп'ютерні мережі фінансових установ, таких як фондові ринки, платіжні системи та банки, щоб вкрасти гроші або заблокувати людям доступ до коштів.
Хакерські атаки до Революції Гідності
Кібератаки проти сусідів для росії не нова практика. Ще у 2007 році вона атакувала Естонію. Формальним приводом стало перенесення пам’ятника «Бронзовий солдат» у Таллінні з центру міста на Військовий цвинтар. Зловмисникам вдалося змінювати, спотворювати або видаляти стартові сторінки деяких сайтів.
Після перевірки своїх потужностей у 2008 році напередодні вторгнення до Грузії росія також застосовувала кібератаки. Перші з них почалися 7 серпня. Тоді постраждали урядові сайти та сторінки деяких ЗМІ. Під час другої хвилі атак відбувалися дефейси різних сайтів, а також DoS-атаки проти великих приватних підприємств.
В Україні до 2013 року росіяни з певною регулярністю намагалися шпигувати за відомостями з урядових порталів та сайтів державних підприємств. Особливо цікавою є російська шпигунська програма Turla Snake, яку реєстрували в урядових мережах ще з 2005 року. Окрім України, програма вивідувала дані у системах 50 країн, серед яких і США. До речі остаточно вимкнути вірус Америці вдалося лише у травні 2023 року.
Початок кібервійни. Майдан та окупація Криму
У період Революції Гідності в Україні (жовтень 2013-го — лютий 2014-го) у протистоянні почався новий етап. Росіяни залучали ботів для поширення дезінформації про події Революції Гідності, а також автоматизованих дзвінків, метою яких було блокування мобільного зв’язку активістів та політиків.
З початком російської агресії проти України кількість кібератак суттєво зросла. У росії з’являється кілька хакерських груп, підконтрольних уряду, зокрема «Кіберберкут» APT29 (Cozy Bear) та APT28 (Fancy Bear). В Україні організовують «Кіберсотню Майдану».
Також від середини 2013 року росія розпочала операцію «Армагедон»: кампанія мала не допустити європейської інтеграції України. Мішенями кампанії були українські урядові, міліцейські та військові службовці, а метою — крадіжка інформації.
Кожна хвиля атаки починалася фішингом (targeted spear phishing), коли потенційній жертві надсилали на електронну пошту документ або посилання з обґрунтованою причиною відкрити його або перейти на спеціально створену інфіковану сторінку в мережі. При цьому використовували правдоподібні назви та зміст документів, які або були викрадені або потенційно мали велике значення для цільових осіб.
Часовий аналіз атак показав значну кореляцію між кібервійною та бойовими діями на фронті у той час.
2014-2017: реформи у галузі кібербезпеки
У цей період країни обмінювались епізодичними ударами: так, росія на день заблокувала виплати Держказначейства, а Україна зламала сайт та отримала дані про співробітників федерального Першого каналу.
Україна нарощувала інституційні спроможності у сфері кібербезпеки та позбувалася російського впливу.
У травні 2014-го визначили офіційний статус команди реагування на кіберзагрози в Україні. Нею стала CERT-UA, яка раніше діяла на громадських засадах. Пізніше, у 2016 році, розробили Стратегію кібербезпеки України, запрацював Національний координаційний центр кібербезпеки.
16 березня 2016 року президент Петро Порошенко підписав указ, яким увів у дію рішення Ради національної безпеки і оборони України від 27 січня «Про Стратегію кібербезпеки України».
Україна запровадила санкції проти російських розробників антивірусного програмного забезпечення, зокрема проти «Доктор Веб» і «Лабораторія Касперського». А у травні 2017 року президент Петро Порошенко ввів у дію рішення РНБО про блокування доступу до низки російських інтернет-ресурсів, а саме до «Одноклассників», «Вконтакте», «mail.ru» та інших популярних російських ресурсів, які поширювали дезінформацію.
Атаки на енергетичну інфраструктуру
Перша в історії підтверджена кібератака, яка спричинила масове відключення електроенергії, сталася 23 грудня 2015 року, коли російські хакери успішно атакували систему управління компанії «Прикарпаттяобленерго». Внаслідок цієї атаки, виконаної за допомогою троянської програми BlackEnergy, приблизно 230 тис. мешканців залишились без світла. «Чернівціобленерго» та «Київобленерго» також зазнали синхронних атак, які мали менш значні наслідки. Доступ до інформаційних мереж отримували з підмереж, які належали російським провайдерам.
Атака була комплексною: метою було зараження мереж через підроблені електронні листи, захоплення контролю над системами дистанційного управління підстанціями, виведення з ладу ІТ-інфраструктури, знищення даних на серверах та робочих станціях, а також атаки на телефонні лінії колцентрів.
Ще одна кібератака відбулася 17-18 грудня 2016 року, коли збій на підстанції «Північна» спричинив відключення електроенергії у північній частині правого берега Києва. Спочатку «Укренерго» не визнавало, що причиною збою була кібератака, але подальше розслідування підтвердило, що перебої були спричинені саме кібервтручанням. Ця атака, яка була усунута протягом 1 години 15 хвилин, мала на меті продемонструвати силу і стала частиною більш широкої фішингової кампанії, спрямованої проти державних установ України.
2017-2019: Petya та повідомлення про замінування
27 червня 2017 року Україна зіткнулася з масштабною кібератакою, що вразила підприємства та установи різних форм власності. Її здійснили за допомогою шкідливої програми Petya, яка мала різні назви та асоціювалася з групою TeleBots, пов’язаною з відомим угрупуванням BlackEnergy-Sandworm. Метою атаки було повне знищення даних, що свідчило про наміри саботажу та демонстрації сили.
Технічна складність атаки полягала у застосуванні різноманітних інструментів та методів, як-от бекдори, інструменти для шифрування даних, а також способи горизонтального поширення у мережах через використання вразливостей, як-от EternalBlue, та інструментарій, як-от Mimikatz, PsExec та WMIC. Джерелом зараження була система оновлень бухгалтерської програми M.E.Doc, що свідчить про використання легітимного програмного забезпечення як засобу для поширення вірусів. У системі оновлень M.E.Doc виявили бекдори та вразливості, що сприяло поширенню атаки.
У жовтні 2017 року відбулася ще одна кібератака, відома як BadRabbit. Спочатку вона не привернула увагу, однак згодом з'ясувалося, що ця атака слугувала прикриттям для більш складної операції проти систем «1С» в Україні.
У 2018-2019 роках Україна стала свідком хвилі масових псевдозамінувань, інформація про які надходила з території рф та ордло. Ці повідомлення були частиною інформаційної війни і демонстрували використання кіберпростору не тільки для технічних атак, але й для впливу на громадську думку та створення атмосфери страху.
2022 -2024: початок вторгнення та злом «Київстару»
У січні 2023 року фахівці Держспецзв’язку та експерти Ради економічної безпеки України провели дослідження кореляції комп’ютерних атак із політичними подіями та ракетними обстрілами від лютого до листопада 2022-го.
Дослідження відстежило чітке узгодження ракетних ударів з кібератаками. Основними мішенями були медіа, центри зв’язку, інституції, які допомагають Україні, логістичні та енергетичні підприємства.
Хронологія деяких атак
- 14 січня 2022 року. Атаки на державні та банківські сайти. Приблизно 22 державні органи та 70 українських сайтів були атаковані з дефейсом, що засуджує український націоналізм. Атака була спрямована на залякування та можливе компрометування Польщі, хоча мала ознаки російського походження.
- 15 лютого 2022 року. Масштабна DDoS-атака. Сайти майже 15 банків і держорганів були недоступні протягом п’ятьох годин, що оцінювалося як найбільша кібератака в історії України.
- 23-24 лютого 2022 року. Атаки напередодні вторгнення. Масштабна кібератака порушила супутниковий доступ до інтернету. Хакери відключили модеми, які зв’язуються із супутником KA-SAT компанії Viasat, що забезпечують доступ до інтернет для клієнтів у Європі, зокрема в Україні. Відбулися атаки на державні та банківські сайти, а також на інші важливі інфраструктурні об’єкти, спричинені вірусом HermeticWiper. Атаки були спрямовані на підготовку до військового вторгнення.
- 8 квітня 2022 року. Кібератака на об’єкти енергетики України. За словами українських чиновників, атака мала початися ввечері 8 квітня, коли люди поверталися додому з роботи, і могла унеможливити їхнє повсякденне життя або отримання доступу до інформації про перебіг війни. Якби атака була успішною, вона позбавила б електроенергії приблизно 2 млн людей і ускладнила б відновлення електропостачання.
- 13 травня 2022 року. Масова кібератака на мережі львівської мерії. Під час кібератаки на мережі мерії викрали частину робочих файлів міста та опублікували її на ворожих телеграм-каналах.
- 23 червня 2022 року. Російські спецслужби атакували сервер електронної пошти Миколаївської ОДА. Внаслідок цього вони отримали доступ до поштової скриньки пресслужби облдержадміністрації.
- 1 липня 2022 року. Кібератака на IT-інфраструктуру групи ДТЕК. Це кібератака на найбільшу приватну енергетичну компанію України, яку здійснили разом із ракетними ударами по Криворізькій електростанції. Кібератака UAC-0056 на державні організації України з використанням Cobalt Strike Beaco.
- Фішингові атаки: розсилання фішингових листів українським військовим та їхнім родичам, а також посадовцям, які мали на меті крадіжку інформації.
Від 2023 року атаки ворога стають більш інтрузивними. У липні минулого року урядова команда з кібербезпеки CERT-UA зафіксувала збільшення активності російського хакерського угруповання Armageddon. Група займалася кібершпигунством щодо сил безпеки й оборони України та здійснювала атаки на об’єкти інформаційної інфраструктури.
Підконтрольні спецслужбам рф хакери також почали використовувати шпигунське ПЗ для стеження за мобільними пристроями бійців ЗСУ. За останній рік СБУ виявила щонайменше сім таких програм, зокрема Infamous Chisel для атаки на Android-пристрої.
У 2023 році російські хакери посилили атаки на українські правоохоронні структури. Зокрема, щоб отримати доступ до даних про докази воєнних злочинів рф, запитів на затримання підозрюваних агентів тощо.
У січні 2024 року хакери активізували фейкові розсилки «запитів» від M.E.Doc — програми, яку широко використовують в українських держустановах та приватних компаніях для надання звітності. Листи містили файли-архіви, запуск вмісту яких призводить до зараження комп’ютера шкідливими програмами RemcosRAT та QuasarRAT, що дозволяють злочинцям отримати дистанційний контроль.
Такі самі фейкові розсилки шкідливого ПЗ хакери здійснювали через месенджер Signal з повідомленнями про нібито рекрутинг до 3-ї окремої штурмової бригади ЗСУ та Армії оборони Ізраїлю (ЦАХАЛ).
Атака на «Київстар»
Уранці 12 грудня 2023 року найбільший український оператор «Київстар» зазнав потужної хакерської атаки, внаслідок якої мільйони абонентів втратили доступ до послуг мобільного зв’язку та інтернету.
Відповідальність за атаку взяла на себе російська хакерська група «Солнцепек», яка, ймовірно, використала скомпрометований обліковий запис одного зі співробітників компанії. Хакери пояснили мотиви тим, що «Київстар» забезпечує зв’язком ЗСУ. Але також ця атака мала на меті завдати психологічного удару по населенню України й отримати розвідувальну інформацію, зазначили в СБУ.
Цифровій інфраструктурі «Київстару» завдали критичних уражень, зокрема, було знищено тисячі віртуальних серверів і ПК. На повне відновлення послуг у компанії пішло кілька тижнів.
На Київському міжнародному форумі з кібербезпеки, президент «Київстар» Олександр Комаров повідомив, що хакерська атака на компанію мала два вектори. Перший вектор був направлений на віртуальну інфраструктуру, другий вектор був направлений на фізичну інфраструктуру.
Перший вектор виявився ефективним на 90%. Другий вектор вийшов менш ефективним, тому що компанія почала досить швидко реагувати, вимкнула всю інфраструктуру та через конфлікт двох атак, тобто одна атака не дала розвиватися іншій.
Це чергове визнання, що триває справжня війна у кіберпросторі, з залученням державних фінансів, спеціалістів та інших ресурсів. Це справжня кібервійна на рівні держав.
Українські атаки 2022-2024 років: удар у відповідь
Україна тримає удар і вражає ворожі системи у відповідь. Над ворожими цілями у кіберпросторі працюють українські спецслужби, IT ARMY of Ukraine, Український кіберальянс та різні групи хактивістів.
IT ARMY of Ukraine — волонтерська спільнота українських хакерів, що почала свою діяльність наприкінці лютого 2022 року. Відтоді хактивісти регулярно здійснюють масовані атаки на ворожі держустанови, фінансові сервіси та пропагандистські медіа, завдаючи росіянам економічних збитків та страждань.
Куратор ІТ-Армії Тед розповів SPEKA, що натепер його військо налічує до десяти тисяч хактивістів, які задіяні в операціях. Це у середньому декілька операцій на тиждень, але ця кількість може збільшуватися залежно від обставин та потреби реагувати на нові виклики.
«Український кіберальянс» — спільнота українських кіберактивістів з різних міст України і куточків світу. Альянс виник навесні 2016 року з об’єднання двох груп кіберактивістів FalconsFlame та Trinity, пізніше до нього приєдналася група кіберактивістів RUH8 та окремі кіберактивісти групи «КіберХунта».
Кілька успішних атак українського кібервійська
- 8 червня 2023 року. Атака зі знищенням інфраструктури московського інтернет-провайдера «Інфотел», який забезпечував роботу центробанку та інших банків рф.
- 7 серпня 2023 року. Атака на московську базу даних нерухомості та її власників «МосміськБТІ». Хакери видалили дані з сервера, а скопійовану інформацію передали Силам оборони України.
- 30 жовтня 2023 року. Зламаний «Мир»: атака з дефейсом сайту найбільшої платіжної системи росії. Українські хакери запропонували росіянам замість рублів користуватися мушлями.
- 1 грудня 2023 року. Хакери Hdr0 протягом понад двох місяців змінювали показники лічильників Севастопольського водоканалу, а також «пробачили» усі борги користувачів з українськими e-mail перед установою.
- Кібератаки на інфраструктуру з 20 по 31 грудня 2023 року. Атака на головну систему онлайн-кас та терміналів «Евотор», збитки отримав мільйон суб’єктів роздрібної торгівлі. DDoS-атаки на «1С», «Бітрікс» та банки. Операція проти російської залізниці та заморожування важливих логістичних вузлів.
- 8 січня 2024 року. Група KibOrg виклала у мережу повну базу даних російського Альфа-Банку з персональними даними 38 млн клієнтів фізичних та юридичних осіб.
- 9 січня 2024 року. Відповідь за «Київстар»: внаслідок атаки на інтернет-провайдера «М9ком» видалено понад 20 ТБ інформації, частина мешканців рф залишилися без інтернету та телебачення.
- 18 січня 2024 року. Атака на військове підприємство. Хакерська група Blackjack викрала понад 500 паспортів військових об’єктів, які містили технічні деталі, плани, схеми, фотографії та іншу конфіденційну інформацію.
- 24 січня 2024 року. Злом «Планети»: знищено базу даних центру космічної гідрометеорології, який надавав інформацію міноборони та генштабу рф. Сума збитків сягнула щонайменше $10 млн.
- 24-28 січня. Сбербанк рф зазнав найтривалішої у своїй історії кібератаки, яку здійснила IT ARMY of Ukraine. DDoS-атака тривала чотири дні, а голова правління банку визнав, що вона була «складною з погляду інструментів».
На порозі першої світової кібервійни
Сьогодні у кіберпросторі борються не любительскі угруповання хакерів: спецслужби обох країн залучені в атаку та оборону цифрового простору.
І ворог має дуже деструктивні наміри. Студенти російських військових вишів з перших курсів вивчають кібернаступальні дисципліни під менторством гру та фсб. Вони досліджують вразливості об’єктів критичної інфраструктури не лише України, а й інших держав, щоб стати руйнівною кіберзброєю в руках спецслужб. І ця кібервійна одного дня може стати світовою.
Лише у травні 2023 року ФБР США виявило та ліквідувало шпигунську програму Snake. З її допомогою російські спецслужби впродовж 20 років отримували доступ до конфіденційних документів із щонайменше 50 країн, зокрема членів НАТО.
Висновок
Зазвичай найкращий спосіб оцінити готовність країни до кібервійни — це провести реальні навчання або симуляцію кібервійни. Це дозволяє перевірити, як уряди та приватні організації реагують на сценарій кібервійни, виявити прогалини в захисті та покращити співпрацю між організаціями та службами.
Тестування різних ситуацій, незвичайних сценаріїв, формування політик національної безпеки для захисту інформаційної інфраструктури — це все превентивні міри. Україні довелось зразу увійти в зону загрози та стати для світу прикладом відчайдушної боротьби не лише на полі бою, але й у кіберпросторі.
Ворог теж еволюціонує і може бути вже на кілька кроків уперед. Тому єдиний спосіб підвищити нашу обороноздатність у кіберпросторі — постійне навчання наших експертів, спільні тренінги з найкращими світовими фахівцями та робота над підвищенням інформаційної грамотності населення. Держустанови та компанії, критично важливі для економіки та оборони країни, мають посилювати свою цифрову стійкість, а їхні працівники — бути поінформовані про поточні загрози.
