Мы познакомились с Юнесом (разумеется, это не настоящее имя) благодаря Джонатану Скотту, специалисту по кибербезопасности, который недавно участвовал в разоблачении шпионского программного обеспечения Pegasus. Юнес — студент. Ему приписывают взлом сети камер, установленных россиянами для наблюдения за передвижением украинских войск. Хакеры из Anonymous подменили в них пароли, тем самым перекрыв один из источников российской разведки.
«Мы пытаемся нанести как можно больший ущерб», — говорит Юнес. Он начал заниматься хакерством ради чистого развлечения и, по его собственному признанию, был «обычным интернет-вандалом». Несколько лет назад с ним связались члены группы Anonymous, которые были впечатлены его достижениями. Группа, которая раньше атаковала западные правительства в отместку «за империализм и нарушения прав человека», теперь объявила войну России.
Наиболее заметная форма деятельности группы — DDoS-атаки. С начала полномасштабной войны ей удалось парализовать работу нескольких сотен российских и белорусских веб-сайтов. Некоторые, такие как сайты Газпрома, агентства ТАСС и Кремля, оставались недоступными по несколько десятков часов. Конечно, DDoS-атаки усиливают ощущение хаоса и приносят убытки атакованным учреждениям или компаниям, но обычно они не наносят необратимого ущерба. Однако о крупнейших акциях такого рода широкая общественность не знала.
«Мы пытаемся создать над Украиной щит, — говорит польский хакер, действующий под эгидой Anonymous. — Когда они атакуют, мы отвечаем еще более мощной атакой, парализуя их действия».
Путин в течение многих лет осознавал силу новых технологий и был решительно настроен использовать их, чему лучшим примером служит российская машина дезинформации. Но теперь кто-то сказал ему: «Это мы еще посмотрим».
Однако эксперт отмечает, что после первоначального шока Россия решила предпринять радикальные меры, отключив значительную часть своей сети от глобального интернета.
По его словам, это усложняет проведение крупных кибератак, подобных тем, которые произошли в первые дни после вторжения. Отключение России от глобальной сети облегчает работу путинской пропагандистской машины.
Среди хакеров, действующих в пользу Украины, есть и те, кто овладел искусством нанесения необратимого ущерба. На третий день полномасштабной войны группа «Сетевой батальон – 65» выложила в социальных сетях запись кибератаки, в ходе которой злоумышленники захватили системы управления компрессорами в Ногире в Северной Осетии, что потенциально могло позволить им взорвать систему газораспределения.
Управление этими компрессорами взломали мои друзья. Мы знаем, что большинство россиян не хотят этой войны, поэтому идея о том, что мы намеренно спровоцируем взрыв, — это стопроцентная чушь. В начале кибервойны с Россией нам пришлось установить для себя определенные правила. Например: мы не атакуем школы, больницы или промышленные контроллеры с целью создания хаоса. Мы — хакеры, а не убийцы.
Хакерская артиллерия
Большинство современных хакерских атак основано на так называемых атаках «нулевого дня» — использовании уязвимостей в программном обеспечении, которые еще не были исправлены производителями и не обнародованы (то есть с момента их официального обнаружения прошло ноль дней).
Подобные атаки могут предоставить доступ к наиболее важным функциям систем критической инфраструктуры и позволяют, помимо прочего, парализовать их или даже физически уничтожить. Российские хакеры «обкатывали» такие атаки в Украине несколько лет назад. «Россия — одна из самых сильных стран мира в этой области. В их распоряжении, вероятно, сотни возможностей для атак “нулевого дня”», — утверждает Юнес.
Согласно Национальному индексу кибер-мощи (National Cyber Power Index), который составляет Белферский центр Гарвардского университета, в «большую пятерку» стран с наиболее обширными возможностями ведения сложнейших действий в киберпространстве входят США, Китай, Великобритания, Россия и Нидерланды. У них есть хорошо подготовленные специалисты, собственный инструментарий, а также разработанные стратегия и тактика для эффективного проведения оборонительных и наступательных операций.
Россия может решить атаковать украинские системы SCADA комплексные автоматизированные системы диспетчерского управления технологическими или производственными процессами и вызвать гигантские отключения. У российских киберслужб определенно есть такие возможности, и я предполагаю, что они их используют.
Когда это может произойти? Некоторые эксперты отмечают, что самая большая угроза возникнет, когда Кремль решит, что у него нет шансов добиться военной победы в Украине. «Тогда гораздо вероятнее, что борьба переместится в другое пространство», — говорит Мацей Броняж.
Дело, однако, не в том, что наделать шуму. Самые важные операции проходят в строгой секретности и чаще всего не попадают в СМИ. Следует предполагать, что спецслужбы обеих сторон действуют уже сейчас, и все время предпринимаются попытки проникнуть в системы, внедриться в них (или, наоборот, защитить свои).
Эксперт напоминает, что защита IT-систем от злоумышленников — это непрерывный процесс, но атакующему достаточно добиться успеха только один раз.
Готова ли Польша к крупномасштабным кибератакам?
Произойди такие нападения, как в Украине, в нашей стране, я бы очень удивился, если бы их последствия не были плачевными. Частные фирмы сами делают многое в области кибербезопасности, но защищенность нашего правительственного сектора весьма спорная, и проблема вовсе не сводится к утечке электронных писем из почтового ящика Михала Дворчика, главы канцелярии премьер-министра Польши. Еще до того, как этот скандал разразился, выяснилось, что была взломана часть правительственных серверов, поскольку Microsoft Exchange там не обновлялся в течение многих лет.
Еще раньше, чтобы проверить, насколько старое ПО используется в Польше, был проведен специальный аудит. Он показал, что некоторые программы помнят еще времена президентства Леха Валенсы, и отставание здесь наблюдается в основном в государственном секторе. По моему мнению, заявления правительства о том, что кибератаки в Польше происходят, но успешно отражаются — не более чем пиар. Мы просто еще не видели массивных кибератак.
В плане Польши меня беспокоит тот факт, что в ходе аудитов и тестов на проникновение мы регулярно находим следы вторжений. Возможно, что доля инфицированных систем еще больше, но мы этого пока не знаем. Например, вредоносные программы могут уже находиться в системе, скажем, два года, но ничего не делать, кроме периодического входа в систему и проверки, не потеряли ли они доступ. Однако в решающий момент они могут уничтожить систему или последовательно выкачивать из нее данные.
«Можно только надеяться, что Польша не находится на первой линии интересов россиян», — считает Кшиштоф Калиньский.
Клин
Элементы кризисного управления видны в России уже сейчас. Там коммуникация направлена на собственных граждан: их полностью отрезают от информации извне и при этом представляют всю «спецоперацию» в Украине как меры, предпринятые Россией для своей обороны. Если мы подождем еще немного, выяснится, что украинцы готовили ядерные подводные лодки для атаки на русских. Я ожидаю, что информационная война Кремля будет продолжаться в направлении, которое нормальные люди, понимающие, что к чему, сочтут идиотизмом. Но, учитывая недавние события в Пшемысле, можно ожидать, что найдутся те, кто в это поверит».
Пост в соцетях появился в пять часов утра. «Найдено в Интернете ... жесть» — написала пользовательница Facebook. Она выложила фотографии темнокожих мужчин и написала, что те утверждают, будто являются беженцами из Украины, хотя не имеют с ними ничего общего. «На белорусской границе для защиты от них пришлось строить стену, но мы все еще кормим их и дарим подарки», — утверждает автор. В ее профиле написано, что она родом из Силезии, а живет в Леверкузене (Германия). До этого в польских социальных сетях уже появились другие сообщения такого же содержания.
Я не знаю, почему именно этот пост был расшарен 72 тысяч раз в течение 24 часов. Это означает, что его увидело в общей сложности до 15 миллионов человек. Для сравнения упомянем, что пост Роберта Левандовского, в котором он объявил, что не сыграет в матче против России (один из самых популярных постов в польском интернете за последние дни), имел вдвое меньший охват.
Эксперт отмечает, что платная кампания в социальных сетях, которая охватила бы столько же адресатов, сколько пост этой пользовательницы, обошлась бы примерно в миллион злотых (около 215 тысяч евро). Что интересно, пост попал не к случайным людям, а к строго определенным социальным группам: антиваксерам и футбольным фанатам. Но при этом, как отмечает Федорович, большинство постов, а иногда и аккаунтов, которые их публиковали, уже исчезли из Интернета. Женщина из Леверкузена также удалила свой пост.
Безусловно, это была спланированная акция. Ее целью было вызвать истерику в Пшемысле и агрессию в группах футбольных болельщиков в Пшемысле, Тарнове и Кракове. В связи с этим случаем возникает целый ряд вопросов, тем более это не похоже на полностью искусственно созданный трафик, что делает крайне сложным обнаружение подобных сообщений в Интернете. Я не исключаю, что владельцы некоторых аккаунтов, которые воспроизвели это сообщение, могут даже не знать об этом.
Несколько раз с начала вторжения украинские спецслужбы призывали к осторожности в соцсетях и предупреждали, что интернет-аккаунты могут быть взломаны.
Каков был эффект ото всей этой операции? Об актах насилия поляков в отношении темнокожих беженцев из Украины пишут — и весьма широко — СМИ всего мира. Между союзниками был вбит клин.
***
Вскоре после нашего первого разговора россияне из The Red Bandits пересмотрели свою позицию. В своем заявлении они написали: «Мы хотим, чтобы это прочли все в Украине. Мы стоим на стороне граждан Украины и поэтому не атаковали ничего, кроме [их — Ред.] правительства. Мы никому не передавали полученные нами данные об Украине. Мы не уважаем Путина как лидера, мы уважаем его как гражданина России и поддерживаем всех ее граждан. Мы не согласны с его действиями, противоречащими миру. (...) Мы отказываемся от нападений на невинных людей, если только не наступит серьезная эскалация».
Генеральный секретарь НАТО Йенс Столтенберг предупредил, что кибератаки на страны Североатлантического альянса могут привести в действие Статью 5 Устава НАТО, которая рассматривает нападение на любого члена НАТО как нападение на всех его членов.
Сообщение с требованием выкупа, отображаемое одним из вариантов вируса Petya, использованного для атаки на Украину / Wikimedia CommonsКибернетические атаки на Украину: хронология
2013–2014 — Серия атак на украинские серверы, осуществленных с помощью вируса Turla/Uroboros. Это была одна из первых кибератак, в совершении которой обвинили хакеров, действующих по поручению российского правительства.
2014 — Массированная кибератака на системы Государственной избирательной комиссии.
2015 — Атака с использованием вируса BlackEnergy приводит к отключению электроэнергии и лишает электричества 230 тысячи жителей Киева и западной Украины. В нападении обвиняется группа Sandworm, также известная как Voodoo Bear и в/ч 74455. Это хакеры, действующие в составе подразделения ГРУ.
2016 — Очередная успешная атака на энергосети.
2017 — Вирус NotPetya сначала поражает украинские компьютерные сети, а затем заражает компьютеры во многих странах мира. В нападении обвиняется группа Sandworm. Сразу же после этой атаки генеральный секретарь НАТО Йенс Столтенберг заявляет, что Североатлантический альянс усилит свои средства киберзащиты, и предупреждает, что аналогичная атака на одну из стран-членов Альянса может привести в действие Статью 5 Устава НАТО.
2022 — Крупнейшая в истории Украины DDoS-атака на несколько часов парализует работу сайтов правительства и крупных банков. Одновременно начинается атака вируса Hermetic Wiper.
Перевод Александра Бондарева
Статья была опубликована в журнале Tygodnik Powszechny.
