Кибератаки на Украину стали важной частью гибридной войны

Военные действия на востоке Украины – лишь часть войны нового типа, в которой традиционные боестолкновения с участием сухопутных войск увязываются с кибератаками, направленными на подрыв дееспособности врага. События на Украине также отражают трудности, с которыми могут столкнуться страны при идентификации более сильного киберпротивника, не говоря уже об эффективном противостоянии ему.

Виртуальное противостояние

За последние два года компьютерным нападениям подвергались министерство иностранных дел Украины, министерство обороны и президентская администрация. По словам представителей президентской администрации и служб безопасности Украины, злоумышленники получали несанкционированный доступ к линиям связи и защищенным базам данных министерства обороны. Начиная с кибератаки на компьютеры избирательной комиссии накануне президентских выборов в мае 2014 г. украинские госорганы пережили уже больше сотни атак, коммерческие структуры – десятки. Украденные документы неоднократно появлялись на сайте пророссийской хакерской группы, называющей себя «Киберберкут».

В мае 2014 г. сотрудники Центральной избирательной комиссии Украины оказались на линии фронта. Придя на работу за три дня до президентских выборов, они обнаружили, что программное обеспечение и жесткие диски не работали, настройки маршрутизации обнулились, не функционировали даже главные резервные копии. Атака «Киберберкута» преследовала цель вывести из строя онлайн-систему подсчета явки избирателей и обработки результатов голосования.

«Это было как холодный душ, – говорит Виктор Жора, директор украинской IT-компании Infosafe, которая помогала восстанавливать систему к выборам. – Это был первый удар в кибервойне». Если бы ЦИК не смог, как обычно, публиковать в интернете в реальном времени результаты голосования, сомнения в легитимности выборов могли бы еще больше расколоть и без того разделенную нацию.

Но этого не случилось. Украинские компьютерные специалисты – из частных компаний и служб безопасности – смогли вовремя восстановить поврежденные системы. «Наши люди не спали пять дней», – рассказал  Жора. В день голосования на сайт ЦИК началась DDOS-атака, однако он выстоял благодаря усиленной защите.

Украина оказалась не готова к кибервойне

Украинским властям не хватает сил противостоять компьютерным атакам. Члены НАТО в прошлом году согласились профинансировать и создать в Киеве новый центр защиты от киберугроз, но законодательные и бюрократические преграды затормозили проект. Украинские власти все еще работают над законом, который должен помочь обеспечению цифровой безопасности.

Киевские чиновники едины в мнении о том, кто организует или заказывает сотни направленных на них кибератак, – Россия. Они обращают внимание на российскую военную доктрину, называющую кибероружие новой опорой вооруженных сил страны и предполагающую применение «невоенных» способов для достижения военных целей. Правда, они не могут предъявить улики, которые бы указывали на российские службы безопасности.

«Мы уверены, что в мире существует лишь одна страна, которой были бы выгодны эти атаки, – это Россия», – говорит глава украинской контрразведки Виталий Найда.

Пресс-секретарь российского президента Дмитрий Песков отверг эти обвинения, назвав их абсурдными. Он отметил, что и российские компьютеры регулярно подвергаются хакерским атакам. Кремль всегда отрицал, что российские военные участвовали в боевых действиях на востоке Украины и поддерживали местных сепаратистов.

«Киберберкут» взял на себя ответственность за взлом сайта избирательной комиссии Украины спустя день после атаки. Эта группировка представляется независимой украинской организацией. Она проигнорировала направленный через ее сайт запрос с просьбой прокомментировать утверждения о том, что она работает в интересах России.

Американские исследователи в области шпионажа и безопасности сообщают, что у России достаточно мощностей и навыков для разработки хакерских приложений. Они обвиняют Россию в проникновении в электронную почту президента США Барака Обамы, а также в несекретные серверы Пентагона и госдепартамента. Россия отвергала эти обвинения.

На самой Украине действует много хакеров, которых преследуют ФБР и недавно созданная в стране киберполиция; их, в частности, подозревают в хищении денег у банков. Однако, уверяет Найда, украинское правительство не нанимало их для защиты от российских хакеров или организации контракибератак.

Открытый доступ

Когда в начале 2014 г. Россия аннексировала Крым и поддержала повстанцев на востоке Украины, киберпреступники получили практически беспрепятственный доступ к незащищенным киберграницам страны. Поскольку на Украине использовались в основном российские технологии, от телекоммуникационной инфраструктуры до работавшего в государственных органах антивирусного софта, она оказалась беззащитна перед кибератаками и шпионажем. При этом в рядах украинских спецслужб действовало немало российских агентов или подкупленных Россией сотрудников, что не позволяло принять действенные меры по противодействию кибератакам. Украинские чиновники, включая военных и сотрудников служб безопасности, регулярно вели деловую переписку с личных адресов электронной почты, которые предоставляли российские почтовые платформы с серверами, расположенными в России, говорит шеф контрразведки Найда. Даже сейчас более половины компьютеров в госорганах работают на пиратском софте, который не обновляется должным образом (что влечет проблемы в обеспечении безопасности), и могут использовать российский антивирусный софт, рассказывает заместитель главы президентской администрации Дмитрий Шимкив, который ранее был топ-менеджером Microsoft на Украине.

По данным украинских властей и компьютерных экспертов, расследовавших кибератаки, эти уязвимости означают, что с прошлого года сотни правительственных компьютеров были заражены специальным софтом, разработанным для шпионажа. Компьютерные инженеры свидетельствуют, что большинство этих вирусов произошли от четырех образцов, разработанных независимо друг от друга, но имеющих нечто общее. Так, создатели вирусов печатают на кириллице, работают в часовом поясе Москвы и их должно спонсировать государство, поскольку над столь сложным программным кодом нужно трудиться полный рабочий день.

Кибератаки на украинские компьютеры в 2014 году

зафиксированные Группой по вопросам реагирования на компьютерные инциденты Украины

- на государственные учреждения – 124

- на коммерческие учреждения – 42

- на зарубежные коммерческие учреждения Украины – 29

- на зарубежные государственные учреждения Украины – 11

Источник: CERT-UA

Вирусы по заказу

Эти вирусы разрабатываются под конкретные цели, говорит Алан Невилл из компании Symantec, занимающейся кибербезопасностью. По его словам, никто не будет тратить время на разработку подобных инструментов, если на это не будет приказа или заключенного контракта.

Один из типичных компьютерных вирусов, нацеленный на украинское правительство, впервые использовался в российской финансовой пирамиде в 2012 г. Хакеры приспособили его для кибершпионажа, свидетельствует компания Eset, анализировавшая вредоносный код для украинских клиентов. Другой вид вирусов развился из вредоносного софта, который в 2008 г. атаковал командный центр американской армии. Власти США были уверены, что этот вирус был разработан российскими государственными структурами. Россия отвергла это обвинение.

Еще один вирус под названием Turla заражал компьютеры украинских дипломатических служб, чтобы украсть конфиденциальную информацию, сообщали знакомые с ситуацией компьютерные эксперты. По их словам, основными целями были посольства Украины в странах Европы, включая Бельгию и Францию. В течение лета 2014 г. украинские дипломаты активно призывали страны занять более жесткую позицию по отношению к России. «Turla начал появляться на Украине с самого начала конфликта – в первые месяцы прошлого года», – говорит Александр Гостев, главный эксперт по безопасности «Лаборатории Касперского». Представитель украинского МИДа Дмитрий Шевченко заявил, что кибератаки против подразделений министерства шли «непрерывно» в течение 2014 г., их целью был главным образом шпионаж. Подробности о типах вирусов он не сообщил.

По словам Найды, заражение не проникло в секретные серверы министерства. По словам западных официальных лиц, брешь в безопасности украинского МИДа вызвала неудобства, но не повлияла на достижение Украиной ее дипломатических целей.

Министерство попыталось защититься от заражения, удалив в прошлом году аккаунты рабочей почты своих дипломатов и создав им новые ящики на новых серверах. С заражением также боролись компьютерные специалисты украинского правительства.

Целью хакеров в вооруженных силах были структуры обеспечения безопасности, сражавшиеся с пророссийскими повстанцами в восточной Украине, в том числе, по словам Найды, секретная компьютерная сеть в штаб-квартире вооруженных сил в Краматорске. «Целью атак было уничтожение всей информации на этих компьютерах», чтобы вывести из строя всю систему сбора информации и принятия решений, говорит он. Он отказался говорить о конкретном ущербе, вызванном этими атаками.

Перевели Павел Кантышев, Олег Сальманов и Михаил Оверченко