Кто побеждает в российско-украинской кибервойне и возможны ли выборы в "Дії"? Интервью с "белым хакером"

О кибервойне между Россией и Украиной говорят редко. Чаще всего в медиа появляются только упоминания об атакованных структурах и вероятных исполнителях. За последние три года жертв в этой войне с украинской стороны не слишком увеличилось, но поражают размеры целей: взлом реестров Минюста, разрушение цифровой инфраструктуры "Киевстара", недавняя атака на "Укрзализныцю". Системное внимание к теме кибербезопасности на уровне государства и частных инициатив начало появляться лишь десять лет назад. "До 2015 года в Украине не существовало рынка кибербезопасности", - рассказывает эксперт по кибербезопасности, основатель компании AmonSul и соучредитель крупнейшего украинского сообщества по кибербезопасности Сергей Харюк. Примерно до того же года в странах бывшего СССР действовала негласная договоренность: "не трогать своих". "Когда мы изучали вирусы, то находили в их коде специальные инструкции. Если на устройстве указаны украинский, русский, белорусский языки или таймзоны вроде "Киев", "Москва" или "Астана", то вирус просто не запускался. Это выглядело как неформальная договоренность. Думаю, она исходила от спецслужб РФ: этот регион - вне цели", - рассказывает герой интервью. Однако с оккупацией Крыма и началом войны на Донбассе россияне нарушили не только международное право, но и это условное "джентльменское соглашение". Реклама: Сейчас кибератаки выглядят как полноценные военные операции. Кремль выстроил собственную вертикаль в киберпространстве: от отдельных хакеров и частных компаний до спецподразделений в структуре Министерства обороны. Все они работают на единую цель: взламывать государственные системы, шпионить, воровать данные, сеять хаос. Харюк был среди тех, на чьих глазах начиналась российско-украинская война в киберпространстве. Она началась с атаки на энергокомпанию "Прикарпатьеоблэнерго" в 2015 году, когда он помогал реагировать на инцидент. Что на самом деле означают самые масштабные кибератаки в Украине? Кто за ними стоит? Как функционируют российские хакерские группировки? Почему они так часто достигают результата и как все это влияет на цифровую безопасность Украины? Реклама: О целях кибератак: как и зачем Россия ломает украинские системы - Какова цель кибератак? - Все зависит от мотивации тех, кто их осуществляет. Если смотреть через threat modeling (моделирование угроз), то можно выделить четыре типа действующих лиц. Первые - молодые энтузиасты, старшеклассники или студенты, стремящиеся попрактиковаться и потешить свое эго, рассказать друзьям: "Я положил сайт Apple". Вторые - хактивисты, которые взламывают сайты для привлечения внимания к политическим или общественным событиям. Например, взломать сайт РЖД и выложить туда новость о Сумах. Третьи - финансово мотивированные киберпреступники, они самые многочисленные. Для них это бизнес: они разрабатывают вирусы, атакуют компании, чтобы потом требовать выкуп. Четвертые - группы, финансируемые государством. Очень редко их целью является уничтожение какой-то инфраструктуры. Обычно это разведка и сбор данных. - За последние три года у нас произошло несколько громких инцидентов ("Киевстар", Минюст, "Укрзализныця", дата-центр "Парковый"). Есть ли в них что-то общее? - Все они были деструктивными. В случае с "Киевстаром" и Минюстом есть еще одна общая черта: инциденты произошли в декабре. Чем особенный декабрь? Это последний месяц года. Выглядит так, что условный российский генерал захотел себе еще одну "звездочку" или премию. Они долгое время имели доступ к системе, а потом получили соответствующий приказ, потому что кому-то надо было подать отчетность. Это лишь предположение, но, зная, как работают спецслужбы РФ, можно сказать, что это типичный для них сценарий. На самом деле таких инцидентов значительно больше, но публичными становятся только те, которые вызывают большой разрушительный эффект. Читайте также: Звезда, которую погасили. Что случилось с "Киевстаром"? - Существует мнение, что такие киберинциденты стали деструктивными не потому, что такова была цель врага, а потому, что их основные цели уже были достигнуты или оказались нереализованными или просто потеряли актуальность. - Думаю, речь идет не об одном мотиве. Вернемся к примеру с "Киевстаром": если все нужные данные уже извлекли, а риски быть обнаруженными в системе возросли, то в завершение злоумышленники могут устроить некий "аккорд на прощание". Зато есть случай с УЗ. Атака произошла не в декабре, а 23 марта. Почему тогда? Если посмотреть на более широкий контекст, то именно в этот период в Джидде проходили переговоры о прекращении ударов по энергетической инфраструктуре и режиме тишины на море. Атака могла быть сигналом: "Если не будете договариваться, мы можем сломать не только железную дорогу, но и энергетику". Это могла быть демонстрация силы. Совпадение во времени может быть случайным, однако оно очень показательно. - Цель атак - парализовать работу и сеять панику или это побочный эффект более глубоких целей, учитывая, что злоумышленники могли находиться в системе месяцами, как в случае с "Киевстаром", который инвестировал в кибербезопасность? - Выводы трудно делать, мы с вами не на стороне того, кто это делал. "Киевстар" инвестировал в кибербезопасность, но тратить деньги - не значит делать это эффективно. Когда они проводили тендеры на тестирование защищенности (penetration testing), одним из главных критериев была низкая цена. Наша компания участия в этих тендерах не принимала, но рынок кибербезопасности в Украине довольно мал, мы все общаемся между собой. Именно из таких разговоров с коллегами на рынке известно, что даже ведущие компании, которые подавались на тендеры с минимальными ценами, проигрывали. Кроме того, большая инфраструктура - это всегда большая поверхность для атаки. Чем больше технологий, систем, людей, тем больше точек входа и уязвимостей. Еще одним важным аспектом в работе россиян является синхронизация с физическими атаками. Часто кибератаки совпадают с ракетными обстрелами. Например, перед атакой на критическую инфраструктуру могут параллельно осуществлять попытку проникновения или вывода систем из строя. - Успешная кибератака - это та, о которой никто не узнал? - Все зависит от цели. Если речь идет об операциях разведки, то успешной считается атака, о которой не узнали по крайней мере до момента достижения цели. Известен случай, когда несколько государств объединили технологии, чтобы атаковать ядерную программу Ирана. Об операции стало известно, но после того, как она сработала. - Если кибератаки сравнивать с боевыми действиями в физическом мире, то когда, по вашему мнению, началась российско-украинская война? - В 2015 году с атаки на "Прикарпатьеоблэнерго". Я помню видео, которое видели единицы, где оператор пульта управления снимал на телефон, как его компьютер блокируется: мышка не работает, он ничего не может сделать, но и выключить машину не может, потому что это критическое оборудование. Читайте также: "Мы знаем их имена. Путин не будет жить вечно". Австралийский хакер Поттер о трибунале над российскими киберпреступниками - То есть кибератаки часто происходят синхронно с реальными боевыми действиями и политическими процессами? - Именно так, но с киберпространством есть определенная сложность. В отличие от физического пространства, здесь почти невозможно четко идентифицировать источник атаки. Илон Маск недавно заявил, что его соцсеть атаковали с IP-адреса из Украины. Однако это ничего не доказывает, ведь сервер мог быть арендован. Идентифицировать лицо, стоящее за атакой, сложно, нужна серьезная доказательная база. Об идеологии, теневой армии, миллионах и уязвимости: как Россия ведет войну в киберпространстве - Кто стоит за российскими кибератаками? Государство, частные компании или какая-то централизованная группировка? - Это экосистема. Там есть госслужбы и частные компании, которые с ними сотрудничают. В России невозможно развивать кибербизнес, не взаимодействуя с государством. Из относительно недавнего можно вспомнить компанию Group-IB, известную за пределами РФ, которая анализирует киберугрозы. Ее основателя Илью Сачкова в 2023 году приговорили к 14 годам за госизмену. Как позже стало известно из медиа, Сачков передал американцам данные о Fancy Bear (хакерская группировка, пытавшаяся повлиять на президентские выборы в США в 2016 году - ЭП), которая помогла выявить часть российских спецслужбистов. Вероятно, действовал несогласованно и за это поплатился. - Есть ли у них единый центр, определяющий цели для атак? - Думаю, все работает по принципу "косвенного управления". Руководитель не приказывает, что нужно делать, а говорит: "Надо, чтобы не работала энергетика" или "Транспорт должен остановиться". После этого исполнители сами решают, как это реализовать. - То есть определяется лишь направление. - Да. Это похоже на восточную культуру управления, когда ты получаешь сигналы или намеки. Я общался со многими людьми и никто не упоминал о конкретном лице, которое "курирует" российскую кибербезопасность. Такой фигуры, по крайней мере публичной, нет. - Из последнего - истории про ГРУ и воинские части. Это часть экосистемы? - Да, это структуры, которые выполняют финальную фазу атак. Однако есть и другие игроки, те, кто создают инструменты. - То есть часть группировок разрабатывает средства для атак? - Конечно. Определенные частные или полулегальные компании создают инструменты, которые затем используются спецслужбами или группировками для конкретных действий. Это распределенная система, в которой никто не делает все, но каждый выполняет свою роль. - У российских хакеров есть какая-то особенность? - Их отличает шовинистическое и имперское позиционирование: "Мы главные, мы все знаем". Хотя это современные специалисты, которые выросли с интернетом и имели доступ к разным источникам, большинство осталось в парадигме "мать Россия". Многие могли бы уехать, зарабатывать большие деньги, но идеологически они не смогли вырваться. Читайте также: Взлом "Дії" по-чеченски. Получили ли российские хакеры личные данные украинцев - Я читал, что российское хакерское сообщество не очень интегрировано с миром. - Абсолютно. Расскажу из личного опыта. Когда-то я совместно с товарищем основывал сообщество по reverse engineering. Он украинец, здесь родился, закончил НАУ. Однако в 2014 году, насмотревшись пропаганды, решил, что он "великий русский", уволился из компании Samsung и уехал работать в Россию. Хотел устроиться в "Лабораторию Касперского", но его не взяли. Наверное, ФСБ считала его "засланным казачком". Английский он знал только на уровне чтения и это типичная ситуация. Большинство из них не владеет разговорным английским, не общается с глобальными сообществами, хотя читает и собирает информацию. Это такая закрытая экосистема, которая берет, но мало что отдает обратно. - Как они выбирают цели для атак? Это хаотичные атаки или четко спланированные? - Они работают целенаправленно и используют различные подходы. Например, фишинг или атаки через смежные структуры, так называемые supply chain-атаки. Если не могут пробить Минюст напрямую, атакуют более слабую цепь - налоговую района. Через нее присылают легитимное на вид письмо с вредоносным вложением. Они хорошо знают, чего хотят, поэтому им удается проникать даже в военные системы, собирать данные или, как сейчас, атаковать Signal, потому что понимают его ценность. - Сколько может стоить реализация кибератаки? - Стоимость зависит от цели. Атака на хорошо защищенное предприятие, например, завод по производству оружия, который имеет обновленное оборудование и современное программное обеспечение, может стоить десятки миллионов долларов. - На что идут эти деньги? - Зарплаты, исследования, разработка инструментов, выполнение атаки. В любом ПО есть уязвимости, даже в самом современном, но найти их - это как делать научное исследование. Мы предполагаем, что уязвимость есть, но не знаем где. Читайте также: Откуда у них мой номер? Как устроен бизнес телефонного спама - Бывает, что тратишь ресурсы, а ничего не находишь? - Именно так. Можно потратить миллионы и не получить ничего. В этом как раз самая большая сложность: не все готовы инвестировать в результат, которого может не быть. Расскажу показательную историю. Существует рынок zero-day-эксплойтов - это уязвимости, о которых еще не знает производитель и которые не были исправлены. Считается, что продукты Apple, в частности iPhone, являются одними из самых сложных объектов для взлома. Мой знакомый работал в команде, которая исследовала эти уязвимости. По его словам, стоимость одного эксплойта для iPhone могла достигать нескольких миллионов долларов. Как-то он участвовал в расследовании реальной атаки, которая случилась на Ближнем Востоке. Там журналист, который писал на темы, чувствительные для местных властей, получил смс с вредоносным кодом. Он должен был активироваться после открытия смс, но журналист не стал его открывать и отправил команде, где работал мой знакомый. Специалисты извлекли эксплойт из сообщения, проанализировали его, а впоследствии опубликовали результаты. Таким образом, хакеры "сожгли" инструмент, который, по оценкам, стоил около четырех миллионов долларов. - Можно ли сказать, что россияне не жалеют денег на кибератаки? - Да, они системно инвестируют в это годами. Компании вроде Positive Technologies, Digital Security или Kaspersky имеют мощные R&D-центры, которые ищут уязвимости в популярном ПО и в системах критической инфраструктуры. Об обороне без нападения, цифровом государстве и выборах в "Дії" - Как выглядит ситуация с кибербезопасностью в Украине, особенно в госсекторе? - В 2015 году мы были на начальном этапе. Сейчас ситуация значительно изменилась. Полностью предотвратить кибератаки невозможно, но если постоянно мониторить и внедрять правильные контроли, то можно уменьшить вред. В киберпространстве многое зависит от финансирования. Это гонка бюджетов: у кого он больше, тот побеждает. Если у врага есть десять миллионов долларов, а у нас на защиту - пять, то преимущество будет на стороне нападающего. К тому же защищаться труднее и дороже. - Кто задает тенденции: нападающие или защитники? - Зависит от креативности. Если защитник найдет недорогое эффективное решение, он выиграет. Если нападающий сделает дешевую эффективную атаку, то выигрывает он. - Это все рождается в условных R&D-отделах? - Да, но в Украине с этим сложно. У нас R&D - это скорее побочный эффект основной работы, когда кто-то в процессе что-то придумал и реализовал. Полноценных R&D в наших компаниях почти нет. - Как бы вы оценили состояние кибербезопасности в госсекторе? - Самая большая проблема - формальное отношение. Это касается и частных компаний. Да, у нас есть большие регуляторы, например, Госспецсвязи, но часто они неповоротливы и долго адаптируются к изменениям. Хотя война дала толчок к изменениям. Многие специалисты из бизнеса перешли в армию, СБУ и Госспецсвязи и принесли туда более гибкое мышление, фокус на результат. Появился эффективный менеджмент, как в бизнесе: есть цель, есть KPI, есть адаптация. Это уже заметно. В марте в Киеве был форум по киберустойчивости, на котором параллельно проходили CTF-соревнования. Команды от госструктур заняли первые места. Десять лет назад победа или даже попадание в десятку какой-то госкоманды были бы сенсацией. Сейчас же государственный сектор опережает коммерческий, потому что у него появились мотивированные люди с боевым опытом и настоящими результатами. Читайте также: Пропало все. Как российские хакеры взломали украинские реестры - Однако бывают случаи, как с ГП "Национальные информационные системы". - Да, бывает. По моей информации из частных разговоров, НАИС долго не присоединялись к системе мониторинга Госспецсвязи, а они могли бы зафиксировать подозрительную активность. - Когда увидим в России то, что происходит у нас? - Такие действия уже есть, но, скорее, в формате хактивизма. Украинские специалисты, которые имеют основную работу, иногда в госструктурах, в свободное время этим занимаются. Официально же у нас нет четко сформированных наступательных киберподразделений. Даже если такие операции проводит какая-то спецслужба, все происходит неформально. - Но ведь в начале войны была создана ИТ-армия. - Так, на базе сообществ создавались чаты, где волонтеры помогали государству: подсказывали, как закрыть уязвимости, помогали руками. ІТ-армия - это, скорее, хактивистский проект. Ее действия сводятся к DoS-атакам. Это самый простой инструмент, который не имеет большого эффекта. То есть это больше символическое действие, чем настоящий вред. - У нас нет чего-то подобного российским кибервойскам как структуры ГРУ? - Нет, официально в Украине таких структур нет. Есть оборонная составляющая. Атаковать мы формально не имеем права. Возможно, наши спецслужбы имеют такие возможности, но они не афишируются и, скорее всего, работают с другим статусом. - Об этом никто публично не скажет? - Именно так. Есть несколько причин. Во-первых - с точки зрения международного права. Во-вторых, как только официально признается участие в атаке, это создает прецедент. Даже США, которые имеют подразделения для киберопераций, почти никогда не признают свое участие. - У нас часто происходят серьезные кибератаки, о которых не сообщают? - Трудно точно ответить. По моим оценкам, на каждый инцидент, о котором говорят публично, есть как минимум четыре, о которых молчат. Особенно это касается частного сектора. Например, когда-то в ботах, которые собирают досье на людей, появилась информация, что часть данных была "слита" из сети аптек. Это явный признак того, что там произошла "утечка", но никто этого не подтверждал. - Государство в таких случаях должно говорить об инцидентах или замалчивать их? - Во время войны трудно дать однозначный ответ, поскольку я не военный. Нужно разделять: если это касается в целом Сил обороны, то, наверное, не стоит публиковать. Если же речь идет о гражданских компаниях, то лучше открыто сообщать, поскольку это позволяет другим учиться на чужих ошибках. Например, "Киевстар" признал только то, что их взломали, но настоящее сотрудничество началось только после взлома УЗ. Тогда специалисты оператора приехали помочь с восстановлением. Однако это уже как помощь после того, как человек сломал ногу. Читайте также: "Ударить по центру банковских операций". Могут ли российские террористы "положить" банки? - У нас нет площадок, где можно обсудить такие инциденты? - Нет, такого механизма нет. Например, в США определенные компании обязаны публично сообщать о взломе. Это подается в виде детального отчета, который может прочитать каждый. У нас такая информация "ходит по знакомым". Кто-то что-то узнал, передал другому и, возможно, это кому-то поможет. - Кроме того, мы редко видим ответственных после таких инцидентов. - Да, в этом тоже проблема. Даже если компанию взломали, она вызывает специалистов. Они все восстанавливают и дальше все молчат. Никто не несет ответственности и компании не инвестируют в защиту, пока не "прилетит". Хороший пример - вирус Petya в 2017 году. Тогда атака произошла через бухгалтерскую программу M.E.Doc. Какую ответственность понесла компания? Извинилась перед клиентами. Почему рынки кибербезопасности в ЕС или США более развиты, чем у нас? Одна из главных причин - это наличие четких регуляций. Если компания не соответствует требованиям, то получает большой штраф или вообще не может работать на этом рынке. Именно поэтому мы в AmonSul сосредотачиваемся на западных рынках. - Почему так происходит? - У нас нет лидерства в этом по государственной вертикали. Есть принятая и даже подписанная президентом доктрина о кибервойсках, был и соответствующий законопроект. Однако этого недостаточно, поскольку любой закон должен кто-то реализовывать. Нужен конкретный человек, который пойдет и начнет все это делать. - В Украине активно продвигается цифровизация. Насколько это рискованно с точки зрения кибербезопасности? - Любая цифровая трансформация на старте несет риски. Это нормально. Главное - не пренебрегать безопасностью и работать с рисками. Например, при разработке ПО кибербезопасность должна быть еще на этапе архитектуры, а не "после запуска". В Украине пытаются это внедрять. Возьмем "Дію", "Мрію", "Армію+", "Резерв+". Когда эти системы запускали, о кибербезопасности думали "по ходу". Сейчас начинают нанимать специалистов, пересматривать архитектуру, что-то улучшать. - В Украине время от времени всплывает тема выборов. Один из сценариев их проведения - электронное голосование, в частности через "Дію". Какие здесь риски? - Самый большой риск - валидировать избирателя. В классических выборах вы заходите в кабинку, вас никто не видит и ваш выбор анонимный. В цифровом формате трудно гарантировать, что нажатие на кнопку за Зеленского, за Порошенко, или за кого-то другого сделали именно Иван, Сергей или Петр без чьего-то влияния. С развитием искусственного интеллекта эти вызовы только растут. Когда злоумышленники могут подделать ваши лицо и голос, кто будет гарантировать, что кто-то не проголосовал вместо вас? Даже с цифровой подписью случаются технические сбои. - Могут ли россияне заблокировать такое голосование? - Это вполне реальная угроза. Россияне могут атаковать и инфраструктуру, и механику голосования. Представим, что верификационный механизм в "Дії" имеет ограничения. Например, всего несколько запросов на подтверждение, чтобы избежать DoS-атак. Если система не проверяет, кто отправляет эти запросы, хакеры могут массово их подделывать, используя настоящие ID. В результате реальный пользователь, когда попытается проголосовать, получит блокировку на, например, 30 минут. Если это ближе к завершению выборов, то он просто не успеет проголосовать. Если так выборочно блокировать избирателей определенного кандидата, то это может повлиять на результат. Условно, если из атаки "выбьют" часть избирателей Зеленского или Порошенко, то это сделает победителем Бойко.