У 2014 році Росія незаконно анексувала Крим, а потім напала на Луганську і Донецьку області, де вже зіткнулася зі збройним спротивом української армії. Угоди, укладені в Мінську у вересні 2014 року та лютому 2015-го, не змогли залагодити конфлікт, і на імпровізованому кордоні між російськими сепаратистами та Україною час від часу відбуваються перестрілки. Водночас Росія створила український полігон для випробувань у кіберпросторі.
У 2015 та 2016 роках посеред зими росіянам вдалося відключити мільйони українців від електроенергії. Кульмінацією ж кібератаки став 2018 рік, коли у справу вступила вірусна програма NotPetya, яка паралізувала роботу українського уряду, бізнесу та інфраструктури. На перший погляд, NotPetya був черговим прикладом ransomware [що дозволяє отримати повторний доступ до атакованих даних після сплати викупу, звідси і назва, – ред.], але на практиці це виявився wiper, тобто шкідлива програма, яка знищує дані. Атака дуже швидко перетнула кордони України і поширилася по всьому світу. Постраждали, наприклад, такі світові компанії, як фармацевтичний конгломерат Merck, виробник продуктів харчування Mondelez та транспортні компанії FedEx, TNT Express і Maersk. Білий дім оцінив збитки в 10 млрд доларів.
Окрім цих вражаючих і небезпечних атак, російські хакери спровокували велику кількість набагато менших інцидентів, пов'язаних з безпекою. Однак ці дії дозволили українцям краще пізнати свого супротивника, його техніку та методи роботи, що виявилося надзвичайно важливим під час повномасштабного російського вторгнення.
Прелюдія до вторгнення
Початок 2022 року, численні дипломатичні зусилля та ескалація риторики Кремля вказували на те, що вторгнення стає все більш імовірним. Це підтверджували сигнали, що надходили з кіберпростору. На початку січня відбулися DDoS-атаки (від англ. Distributed Denial of Service – мультиплікована атака, спрямована на виснаження ресурсів додатків, що може призвести до проблем з роботою сайту або його недоступності) на українські урядові сайти. Вони були швидко відбиті, а домени відновлені до роботи. Однак це була прелюдія до серйозніших дій.
У ніч на 24 лютого 2022 року російська військова розвідка ГРУ провела операцію проти американської компанії Viasat, що надає високошвидкісний супутниковий широкосмуговий зв'язок комерційним і військовим клієнтам. Десятки тисяч терміналів компанії були пошкоджені і не підлягали відновленню. Українські військові використовували їх як резервний зв'язок, і головною метою російської операції було позбавити їх комунікації, що підтверджено у спільному комюніке ЄУ, Великої Британії та США. Застосування засобів радіоелектронної боротьби разом з кібератакою на Viasat призвело до проблем зі зв'язком для військ, що захищають Київ. У решті країн ЄУ атака порушила роботу тисяч підприємств, лише в Німеччині вона призвела до виходу з ладу 5800 вітрових турбін.
Однак проблема зв'язку для українських захисників була швидко вирішена завдяки оперативній доставці телекомунікаційної супутникової системи, виробленої американською компанією SpaxeX, що належить Ілону Маску. Starlinks забезпечив безпечний та ефективний зв'язок, виявившись стійким до російських хакерів та інших втручань.
На початку вторгнення росіяни також атакували головного українського інтернет-провайдера «Тріолан» і найбільшого телекомунікаційного оператора «Укртелеком», намагаючись порушити зв'язок в Україні та утвердити своє домінування в інформаційному середовищі, що відповідало російській інформаційній доктрині. В результаті користувачі «Тріолан» та Укртелекому зазнали тимчасових перебоїв з інтернет-послугами. Внутрішні пристрої компаній перестали працювати, оскільки російські хакери змусили їх скинути налаштування до заводських. Відновлення інтернет-послуг було суттєво ускладнене безперервними російськими повітряними атаками і зайняло кілька днів.
Масована атака вірусного програмного забезпечення
Протягом перших чотирьох місяців війни росіяни використовували від восьми до десяти різних типів шкідливих програм-вірусів, призначених для знищення збережених даних. Атаки були спрямовані на майже 50 різних українських установ та підприємств. У деяких випадках спостерігалися тимчасові операційні труднощі, але вони швидко вирішувалися. Масштаб цієї атаки був величезним – стільки ж шкідливого програмного забезпечення Росія використовувала за шість років до цього.
Віктор Жора, заступник голови Державної служби спеціального зв'язку та захисту інформації України, заявив, що з продовженням війни російські атаки стали менш витонченими та менш скоординованими, що підтверджує спостереження за використанням програм типу wiper. Експерти американського аналітичного центру Carnegie вважають, що зниження складності російських кібератак пов'язане з необхідністю відновлення власних наступальних можливостей через те, що використовуване шкідливе програмне забезпечення стало розпізнаватися антивірусним програмним забезпеченням. На це також вплинули спрямовані на Росію кібератаки, здійснені українцями та хакерами з усього світу, що призвело до необхідності виділення сил для захисту російських систем.
Однією з найважливіших цілей російських атак в Україні був енергетичний сектор. До кінця 2022 року українці зафіксували 84 спроби проникнення в мережі та системи з використанням сучасного шкідливого програмного забезпечення для порушення енергопостачання. Наприклад, найбільша компанія України в енергетичному секторі, ДТЕК, стала жертвою хакерів та російських військовиків. Однак, на відміну від 2015 та 2016 років, цього разу операції провалилися. Українці добре засвоїли уроки минулого і були явно краще підготовлені. Вони інвестували значні кошти в покращення кібербезпеки, особливо в енергетичному секторі.
Підприємства логістичного, транспортного та аграрного секторів також зазнали атак, але з часом інтенсивність операцій знизилася. Традиційні збройні операції виявилися набагато ефективнішими.
Кібернетична складова російської військової машини
Від самого початку повномасштабного вторгнення були певні ознаки того, що кібероперації координуються з операціями регулярних військ. Напередодні захоплення Запорізької атомної електростанції в березні 2022 року російські хакери зламали її мережу в пошуках інформації. Схожий інцидент стався у Вінницькій області, де 4 березня 2022 року хакери зламали урядові системи, а через чотири дні вісім ракет влучили в аеропорт у цьому районі.
Схожа ситуація могла статися 29 квітня, коли була атакована залізнична інфраструктура поблизу Львова. Збройній атаці передувала кібероперація. Імовірно, що росіяни знайшли інформацію про те, що саме в цей день із Заходу буде перевозитися озброєння (дати і маршрути військових перевезень засекречені), і вирішили його знищити. Зважаючи на високу інформаційну дисципліну в Україні, невідомо, чи досягли росіяни своєї мети.
Кібероперації також мали на меті полегшити відступ російських військ з Києва і затримати пересування українських військ на схід країни. Тому системи і мережі транспортних організацій, розташованих на заході і в центрі України, були природною мішенню.
Окрім використання шкідливих програм для знищення даних, протягом перших чотирьох місяців вторгнення росіяни здійснили понад 240 шпигунських операцій у кіберпросторі, основною метою яких була крадіжка інформації. Здобуті дані могли б допомогти російським військовикам у стратегічному плануванні, виборі цілей, утриманні окупованої території, переговорах чи оперативній діяльності. Однак ефективність кібершпигунських операцій неможливо однозначно перевірити через те, що публічно уникають повідомляти про те, чи були вони успішними, а тим більше, яку саме інформацію було отримано. Одним з найактивніших зловмисників була російська хакерська група Turla, яка була ідентифікована лише на початку 2023 року. Її основна увага була зосереджена на урядових документах, створених після 1 січня 2021 року. Останнім часом діяльність російських кібершпигунів була зосереджена переважно на триваючому українському контрнаступі, але важко оцінити, чи отримали росіяни якусь інформацію, що могла б вплинути на його перебіг.
Захід під прицілом
Росія також використовувала кібероперації проти західних країн, які активно допомагали Україні. До них належать фішингові операції, у яких, наприклад, російські хакери намагалися видавати себе за довірених осіб або установи і спонукати одержувачів їхніх повідомлень натиснути на прикріплений файл, що містив шкідливе програмне забезпечення. Такі дії були спрямовані на урядові та військові установи в Польщі, ядерні дослідницькі лабораторії в Брукгейві, в Арґоні та Лоуренсі в США, установи НАТО чи аналітичні центри, що займаються питаннями безпеки та міжнародної політики. Більшість цих атак були спрямовані на здобуття інформації.
Росіяни також проводили операції, спрямовані на шифрування даних. Наприкінці 2022 року у звіті Microsoft зазначалося, що загроза від нового шифрувального програмного забезпечення Prestige вразила не лише українські організації, а й цілі в Польщі. Однак у своєму звіті Microsoft не надала жодних подробиць.
Це лише частина атак, спрямованих на західні країни, і саме тому так важливо приділяти увагу кібербезпеці. Що може статися, якщо росіяни проведуть успішну кібератаку? Такий сценарій ілюструє, наприклад, аварія на польській залізниці, яка трапилася 17 березня 2022 року. Тоді стався параліч, який знерухомив сотні поїздів по всій Польщі. Спочатку припускали, що причиною стала кібератака, але пізніше з'ясувалося, що 19 з 33 місцевих центрів управління вийшли з ладу. У цьому випадку вийшло з ладу телеінформаційне обладнання, але подібний ефект міг бути досягнутий і внаслідок кібератаки.
Чому росіяни не зламали кіберзахист України?
Повномасштабне вторгнення і, як наслідок, масовані, можливо, найбільші в історії кібератаки не призвели до прориву кіберзахисту України. Це здивувало польського генерал-майора і командувача Сил кіберзахисту Кароля Моленду, який, наприклад, заявив під час круглого столу на Міжнародному форумі з кібербезпеки в Ліллі (Франція) в червні 2022 року, що він очікує на цифровий еквівалент Перл-Харбору. Він додав, що українці показали, що можна підготуватися до війни в кіберпросторі. Їхньому успіху сприяли кілька чинників.
По-перше, Україна вже вісім років, з 2014-го, протистоїть різноманітним кіберопераціям російських хакерів. За цей час вона познайомилася зі своїм супротивником, його методами роботи, використовуваним шкідливим програмним забезпеченням і сама зробила значні інвестиції в кіберзахист, покращивши захист власних мереж і систем, особливо у сфері критичної інфраструктури, або збільшивши кількість експертів з кібербезпеки. Наприклад, один з найбільших телекомунікаційних операторів України збільшив кількість співробітників з кібербезпеки на дві третини в період з 2015 по 2022 рік, а український енергорозподільник «Укренерго» лише за два роки витратив 20 млн доларів на інвестиції в системи кіберзахисту. Важливі зміни відбулися і в законодавстві, наприклад, у 2016 році Україна ухвалила Національну стратегію кібербезпеки, положення якої були ефективно впроваджені. Відбулися також інституційні зміни, і 2021 року було створено Кіберцентр UA30, який координує діяльність суб'єктів, відповідальних за кіберзахист.
Другий чинник – безпрецедентна допомога з боку Заходу. Україна також отримала фінансову підтримку США в розмірі 40 млн доларів на розвиток кіберзахисту, а Командування кібероперацій США (USCYBERCOM) відрядило до України свою команду для посилення та обміну ноу-хау. Разом з українцями американці намагалися відстежити та ідентифікувати зловмисну активність в українських мережах і системах, яка могла б свідчити про вторгнення. Крім того, американці навчали українців використовувати інноваційні технології кіберзахисту. Останні члени USCYBERCOM покинули Київ напередодні російського вторгнення. Тому вони все ще були на місці, коли почалися січневі російські кібератаки, допомагали аналізувати їх і ділилися отриманою інформацією з американськими відомствами. Незважаючи на те, що в Україні немає американських військ, USCYBERCOM продовжує допомагати українцям, зокрема, ділиться інформацією про атаки.
Естонці, поляки та інші члени НАТО також надали допомогу. У безпрецедентному масштабі долучились приватні компанії, такі як американські Microsoft, Google і Amazon, які надали свої хмарні сервіси для зберігання української урядової інформації, поділились даними про шкідливе програмне забезпечення і надали інші можливості для посилення кібербезпеки. Словацька компанія ESET, що займається розробкою продуктів для кібербезпеки, також відіграла важливу роль, надавши велику кількість даних про шкідливе програмне забезпечення, що діє в Центральній та Східній Європі. Ніколи раніше приватний сектор не був залучений у таких масштабах.
Нарешті, відповідальність за успіхи кіберзахисту України також лежить на росіянах, а точніше, на погано виконаній військовій операції та переоцінці власних сил. Насамперед, росіяни не мають еквіваленту американських чи європейських кібервійськ, які могли б проводити операції в кіберпросторі в тісній взаємодії з конвенційними військами. Операції в Україні проводилися групами, пов'язаними з ГРУ, ФСБ і СЗР, тому важко уявити, наприклад, ефективну співпрацю між військовою і цивільною розвідкою і контррозвідкою, особливо в Росії, де ці середовища перебувають у сильній конкуренції між собою. Іншою важливою проблемою було те, що про вторгнення в Україну мало бути відомо лише вузькому колу осіб, як це описує, зокрема, Оуен Метьюз у книжці «Переоцінити себе: внутрішня історія Путіна і війни Росії проти України» (Overreach: The Inside Story of Putin and Russia’s War Against Ukraine), тому хакери не мали часу на ретельну підготовку операції.
Підсумок
Незважаючи на відсутність значних успіхів з боку російських хакерів під час повномасштабного вторгнення в Україну, їх не варто недооцінювати. Це гнучкі формування, готові адаптувати свої методи та шкідливе програмне забезпечення, яке вони використовують, до мінливих умов. Росіяни відновлюють свої можливості та зосереджуються на інших цілях. Наразі, як повідомляє Державна служба спеціального зв'язку та захисту інформації Польщі, більша увага приділяється кібершпигунству, в якому росіяни мають значний досвід та успіх. Не лише Україна повинна бути на сторожі, але й країни, які підтримують її у війні, насамперед Польща, яка стала ключовим хабом для України.
Переклад з польської
Текст опубліковано в межах проєкту співпраці між ZAXID.NET і польським часописом Nowa Europa Wschodnia.
Попередні статті проєкту: Україна – ЄС: гарячий фініш переговорів, Україна – втеча від вибору, Східне партнерство після арабських революцій, У кривому дзеркалі, Зневажені, Лукашенко йде на війну з Путіним, Між Москвою й Києвом, Ковбаса є ковбаса, Мій Львів, Путін на галерах, Півострів страху, Україну придумали на Сході, Нове старе відкриття, А мало бути так красиво, Новорічний подарунок для Росії, Чи дискутувати про історію, Мінський глухий кут
Оригінальна назва статті: Ukraina zaskakuje Rosję w cyberprzestrzeni