Голова кібербезпеки СБУ про битви з рашистами та контрнаступ у мережі
Прямо зараз між Україною та Росією йде перша в історії кібервійна. Її реалії — це сотні секретних операцій, тисячі кібератак і мільйони ботів з фейк-ньюз, а результати цього протистояння вплинуть на весь світ. Видання Platfor.ma брала участь у проєкті United24 Media «War between Ukraine and Russia: First Cyberwar in History» та поговорило з головою департаменту кібербезпеки СБУ Іллею Вітюком про захист від кібератак та маловідомі факти успішного кіберконтрнаступу України.
Кіберагресія на Україну почалася ще у 2014-му. У наступні роки були спроби атак, наприклад, на енергетичну інфраструктуру або, можливо, ви пам’ятаєте вірус Not.Petya 2017-го року. З того часу кількість загроз постійно зростає. У 2020-му на Україну було приблизно 800 серйозних кібератак. 2021-й — вже 1400. Після початку повномасштабного вторгнення, у 2022-му, — 4500. За перші десять місяців 2023-го — вже близько 4000.
Росіяни намагаються атакувати різні державні та приватні цілі. Від того, що вони називають центрами прийняття рішень, Збройних сил, міністерств, електромережі — і до аптек та навіть магазинів іграшок. Просто щоб спровокувати паніку, тому що психологічний ефект від цифрових атак також дуже серйозний.
Немає жодного міністерства чи державної системи, яку б росіяни не намагалися атакувати у кіберпросторі. Є приклади атак, що були до певної міри успішними. Наприклад, у 2015-му під ударом опинилося Прикарпаттяобленерго — тоді протягом 6 годин близько 250 тис. людей були без світла. Після 2022-го блекаутами вже нікого не здивуєш, але сім років тому все було інакше. А на початку цього року атакували енергокомпанії у Дніпрі, тоді місто було без світла 3 години.
Такі кібератаки особливо небезпечні у зимовий час. Коли немає струму, то врешті немає і води, немає опалення. Причому немає і в лікарнях, і у літньої людини, яка живе на 22-му поверсі. Тому ми маємо відбивати такі атаки.
Перед повномасштабним вторгненням були дві великі хвилі кібератак. 13-14 січня їхніми цілями стали близько 70 різних державних установ — це була комбінація різних типів загроз, через які російські хакери намагалися вкрасти важливі дані. На додачу почалася велика психологічна кампанія, де Телеграм-канали та інші медіа розкривали особисті дані українців. Друга велика хвиля відбулася за тиждень до вторгнення, тоді під ударом опинилися також державні фінансові системи.
Ще кілька атак вони запустили прямо перед вторгненням — 23 лютого близько 18-19 вечора. Тоді росіяни атакували вже наші армійські системи й зв’язок. Це була настільки потужна атака, що навіть кілька вітряків в Німеччині зупинилися, оскільки використовували схоже з нами обладнання.
А вже вранці почалися і масштабні психологічні атаки — всі ці фейки про те, що Харків, Суми та інші міста нібито вже захоплені. Ідея була в тому, щоб змусити нас панікувати та підштовхнути до думки, що не варто чинити спротив. На щастя, це їм не вдалося. Вони розраховували на успіх бліцкригу, але виявилося, що це не спринт, а марафон.
Російські хакери також намагалися зламати одного з трьох українських телекомунікаційних операторів. На щастя, ми зупинили цю атаку на самому початку. Але якби у них було трошки більше часу, росіяни могли б витягти персональні дані, отримати доступ до смс та дзвінків, а також буквально знищити інфраструктуру оператора. А якщо один був би знищений, то два інших були б перевантажені й не змогли б впоратися з усіма дзвінками. Вони б також «лягли» і на якийсь час вся Україна могла залишитися без зв’язку. Зрозуміло, як сильно це могло вплинути на усі сфери.
У ворожих хакерів є мета — знищити нашу державу. І тому ця війна — щось абсолютно нове. Ми не зіштовхнулися з кимось, хто зацікавлений у хакінгу фінансово. Ми зіштовхнулися з державою, у якої є хакерські групи, що фінансуються спецслужбами — ГРУ, СВР, ФСБ. Вони мають дослідницькі лабораторії, інститути, які допомагають хакерам розробляти різні засоби кібератак.
Тому я завжди кажу, що ми — це своєрідний щит у кіберпросторі всього демократичного світу. Ми перші зіштовхуємося із російською кіберзброєю, яка тестується саме тут. Ми ділимося інформацією з нашими партнерами, тож вони будуть краще підготовленими.
Але наш ворог теж не стоїть на місці. Зараз РФ створює фактично національну систему кібератак. Це вже не тільки про спецслужби. У нас є інформація, що в освітніх програмах деяких вищих навчальних закладів вже запровадили предмети на кшталт «Здійснення кібератак на державні системи». Вони хочуть наростити масштаб загроз і кількість людей, які можуть це робити.
У далекій перспективі це може мати дуже небезпечні наслідки не тільки для України, а й для наших партнерів. Бо зараз всі ресурси РФ направлені на Україну, а більшість небезпек для інших країн — низькорівневі DDoS. Чому? Бо у ворога просто немає сил і людей для чогось серйознішого. Але з часом у них з’явиться багато людей, які точно знатимуть, як атакувати державні ресурси, енергосистеми, водо- та газопостачальні компанії. Всі вони будуть працювати на спецслужби та завдадуть чимало шкоди не тільки Україні, а й світу.
Кіберконтрнаступ
За специфікою своєї роботи СБУ спрямована на захист національної безпеки України, тому один з аспектів нашої роботи — пошук розвідувальних даних, які ми потім передаємо Збройним силам. Все, щоб зрозуміти: які плани у ворога, як пересуваються війська, яке озброєння використовується або як РФ обходить санкції, як створює нові ланцюжки купівлі компонентів, що вони використовують у зброї. Крім того, наша задача — вражати їхні кібератакувальні спроможності, щоб зруйнувати можливість нападати на Україну в кіберпросторі.
Звісно, ми й самі почали атакувати. Почали вже 24 лютого, у день вторгнення. До цього ми лише захищалися, але час безкарності закінчився.
У перші дні повномасштабної війни була буквально черга з людей, які дзвонили в СБУ і хотіли якось допомогти. Люди, пов’язані з ІТ, хотіли щось зробити, щоб зупинити ворога. Я називаю їх своєрідною кіберТеробороною.
З того часу в України було багато успішних операцій. Про більшість із них я не можу розказати зараз. Нагадаю, наш пріоритет — розвідувальні дані.
З іншого боку на ваше прохання я, звичайно, можу надати свою оцінку тому, що в Україні називають «кібербавовною» — тих випадків, коли Росію хтось атакував у кіберпросторі.
Можливо, ви пам’ятаєте атаку на Rutube. Це російська заміна YouTube, адже ідея закрити його у РФ все ще жива, як вони зробили з Instagram та Facebook. СБУ не може ані підтвердити, ані спростувати свою причетність, але оцінити дії українських хакерів все ж собі дозволю.
9 травня Путін проводив парад на Червоній площі. Мала бути пряма трансляція на Rutube, але її не було. Сервіс повністю ліг. Кіберсили знищили усі зв’язки між серверами, тож росіянам знадобилося 5 днів, щоб просто все ввімкнути та місяці, щоб відновити всю систему.
Були й інші атаки. Зазнавали ударів система супутникового зв’язку ворожих військових Дозор-телепорт і другий найбільший провайдер Росії Дом.ру. Проукраїнські хакери зламали й сайт МосгорБТІ, який містить усі дані про нерухомість та її власників у Москві та Московській області. Всі ці дані дісталися Силам оборони України, тож тепер відомо, де саме живуть військові начальники РФ. Всі дані були знищені, а МосгорБТІ було змушене перейти на папір.
Інший приклад — атака на російську Митну службу. Вся її цифрова інфраструктура була повністю знищена разом із бекапами. Це призвело до того, що усі митні структури від Владивостоку до окупованого Севастополя зупинилися. І три дні вони теж використовували лише папір.
Тобто загалом Росія пропустила багато серйозних атак. Але про найважливіші з них і те, хто їх проводив, розповісти можна буде лише після перемоги.
Люди часто звертають увагу на злами, коли українська музика чи промови лунають замість ефірів російських медіа. Це зазвичай не дуже серйозні атаки, але це хороший приклад того, як цифровими засобами здійснюється психологічний вплив. Це нагадування росіянам, що ворог ближче, ніж вони думають.
Для України важливо контратакувати в кіберпросторі, щоб росіяни теж відчули, що війна триває — і не тільки десь далеко, а поруч. Для нас важливо доносити цю інформацію до РФ.
Хто такий хакер СБУ
Знову ж таки — це закрита інформація. Але можу сказати, що сьогодні хакери з СБУ — це не просто ІТ-фахівці. Це поєднання програміста і подекуди бійця-спецпризначенця. Тому у нас чимало людей, які працюють на фронті — там у них є доступ до девайсів, які ми захоплюємо. Вони також протидіють ворожим РЕБ, дронам, тож їм треба бути на передовій і знати, як стріляти. Тому не завжди український хакер — це той, хто сидить з клавіатурою перед монітором, іноді треба працювати й в полях.
Це робота 24/7. У нас є купа телеметричних сенсорів, встановлених на об’єктах критичної інфраструктури. Вони допомагають нам фіксувати початок кібератаки, щоб ми швидко могли відреагувати: ізолювали, зупинили, обмежили.
Нещодавно ми зупинили дуже потужну атаку на нашу бойову систему управління тактичної ланки «Кропива». Росіяни розробили 7 вірусів спеціально для її хакінгу. До чого це могло призвести? Вони могли б отримати доступ до усіх девайсів, підключених до «Кропиви» — планшетів, телефонів. Росіяни могли побачити не тільки саму систему, а все на цих пристроях — листування в Телеграмі, зображення в Signal й так далі. Повний доступ. Також це шкідливе програмне забезпечення мало дати доступ до конфігурацій усіх Старлінків, до яких під’єднані девайси. Врешті вони могли побачити, де наші штаби, бо там скупчення Старлінків і гаджетів. Їх могли атакувати артилерією чи ракетами. Це була перша велика оборонна операція за всіма стандартами НАТО. Ми побачили цю атаку на старті — і зупинили її.
Навіть звичайні користувачі змогли стати кібербійцями. Наприклад, IT-армія, до якої долучилося близько 300 тис. людей — вони переважно займалися DDoS-атаками. А вже за кілька днів після повномасштабного вторгнення запустився Stop Russian War Bot, в який можна було надсилати інформацію про маневри ворога, координати, види військ та озброєння. Ми отримали понад 100 тис. повідомлень від звичайних людей з усієї країни. Далі ми перевіряли ці дані й відправляли все до Збройних сил. Врешті це призвело до загибелі кількох ворожих генералів та знищення сотень одиниць бронетехніки. Це було дуже ризиковано для людей, які робили фото ворога та передавали дані. Навіть знаючи, що можуть загинути, вони продовжували це робити — і допомогли зупинити російську армію.
Українці не мали іншого вибору, окрім як захищати свою землю. Тож усі представники ІТ, які могли доєднатися до захисту держави, були залучені. Загалом це тисячі людей.
Однак, на жаль, тисячі людей беруть участь у кібервійні й з російського боку. Тому що цифрові шантажисти, здирники та шахраї, які діяли в Росії, зараз працюють проти України. Фактично ворожі спецслужби змусили їх атакувати нашу державу.
Дуже важливим завданням СБУ є притягти усіх цих державних хакерів до відповідальності. Для нашого майбутнього важливо, щоб кожна така людина розуміла, що рано чи пізно доведеться заплатити за атаки, особливо на цивільну інфраструктуру. Тому для нас важливо фіксувати, хто саме винен та передавати ці дані в українські й міжнародні суди.
Ми нещодавно порахували: щомісяця фіксується близько 1000 дезінформаційних кампаній від РФ. Це різні методи: куплені лідери думок, YouTube, Телеграм, TikTok, X, будь-які інші. Вони створюють ботоферми з нібито реальними людьми, які підписуються на потрібний акаунт. А якщо на когось підписані тисячі, то ця людина ніби вже більш авторитетна — і починає поширювати фейки про біолабораторії, продаж озброєння від союзників, конфлікти у владі. Все це — спосіб впливати на суспільну думку і на наших партнерів.
З початку повномасштабного вторгнення ми блокували вже 76 ботоферм із 3 млн фейкових акаунтів — і це тільки ті, що працювали в Україні, а є ж і ті, що діють з території РФ та інших країн, куди у нас немає доступу.
Загалом Україна зруйнувала міф про всемогутніх російських хакерів. Не тому, що вони слабкі чи тому, що їх мало. А тому, що ми сильні — і нас недооцінювали. У мене було багато розмов з керівниками різних закордонних спецслужб. Всі вони в один голос казали: навіть попри всю нашу підтримку та довіру ми були впевнені, що російські хакери знищать всю вашу інфраструктуру. Але українці 8 років боролися і розвивалися. І тепер ми можемо протистояти будь-кому. Легко вчитися, коли балансуєш на лезі ножа.
Це перша кібервійна у світовій історії, де є дві країни, що відкрито воюють. Раніше були приклади потужних кібератак. Але їхня мета була отримати інформацію та використати її. Це було не про знищення самої держави. А ми зараз у ситуації, коли намагаються зруйнувати саме країну. І ті масштаби атак, які ми в СБУ зафіксували, наочно це показують. Немає іншого місця на землі, іншої країни, яка опинилася б під такими атаками. І я сподіваюся, що й не з’явиться.
Джерело: Platfor.ma
