Окрім воєнних операцій у повітрі на морі та на суші, є ще один вимір війни. Кібероперації часто залишаються доволі непомітними, попри те що іноді безпосередньо впливають на наступні ракетні атаки, пересування армії або ж на виробництво зброї. З’ясовуємо, що відбувається у російсько-українському кіберпросторі, наслідки головних атак та які цілі обирають хакери, пов’язані з урядами країн.
1000 днів від початку повномасштабної війни. До цієї сумної дати видання SPEKA та The Page підготували спецпроєкт, мета якого — розповісти, як агресія окупантів вплинула на Україну та українців. У цьому матеріалі розповідаємо про протистояння в інформаційному просторі.
Що таке кібервійна та які типи кібератак бувають
Кібервійна — це протистояння у цифровому просторі заради отримання переваги над противником або завдання шкоди його економіці, обороні та національній безпеці. Мета кібервійни може варіюватись. Популярні цілі — дестабілізація інфраструктури супротивника, збір розвідданих, знищення або пошкодження критично важливих комп’ютерних систем і мереж.
Різниця між інформаційними та кібератаками полягає у тому, що перші зосереджені на поширенні дезінформації, пропаганди або на впливі на громадську думку, тоді як кібератаки охоплють ширший спектр операцій, серед яких злом систем, шпигунство, зараження шкідливим ПЗ, викрадення даних.
Спеціалісти виділяють декілька напрямів кібервійни:
- Шпигунство. Це проникнення у закриті системи противника з метою викрадення або відстеження конфіденційної інформації. Для цього використовують ботмережі або фішингові атаки для компрометації чутливих комп’ютерних систем.
- Атаки на відмову в обслуговуванні (DoS, DDoS). DoS-атаки перешкоджають звичайним користувачам отримати доступ до сайту, засипаючи його фальшивими запитами на доступ та змушуючи обробляти їх. Такі кібератаки застосовують для порушення роботи критично важливих операцій і систем, а також для блокування доступу до важливих сайтів. Також такі атаки на інфраструктуру можуть порушити комунікації і зробити недоступними такі послуги, як зв’язок чи електропостачання.
- Пропагандистські атаки. Це спроби отримати контроль над каналами поширення інформації в іншій країні, щоб прокомунікувати певне повідомлення. Також такі атаки можуть бути відповіддю на попередні дії противника.
- Операції проти фінансових установ. Зловмисники атакують комп’ютерні мережі фінансових установ, як-от фондові ринки, платіжні системи та банки, щоб вкрасти гроші або заблокувати доступ до коштів.
Українсько-російські відносини у кіберпросторі до повномасштабної війни
Протистояння у кіберпросторі почалось не з 24 лютого 2022 року, відтоді набуло більшої інтенсивності.
Наприклад, ще до 2013 року росіяни з певною регулярністю намагалися шпигувати за відомостями з урядових порталів та сайтів державних підприємств. Зокрема, російську шпигунську програму Turla Snake реєстрували в урядових мережах ще з 2005 року (програма вивідувала дані у системах 50 країн, серед яких і США).
У цей період країни обмінювались епізодичними ударами: наприклад, росія на день заблокувала виплати Держказначейства, а Україна зламала сайт та отримала дані про співробітників федерального першого каналу.
Водночас у 2015 році почались перші російські кібератаки на енергетичну інфраструктуру. У відповідь Україна почала налаштовувати офіційні команди для протидії кіберзагрозам. Нею стала CERT-UA, яка раніше діяла на громадських засадах. Пізніше, у 2016 році, розробили Стратегію кібербезпеки України, запрацював Національний координаційний центр кібербезпеки.
У Держспецзв’язку (державному органі, відповідальному за кібербезпеку) стверджують, що 10% атак походять від кіберпідрозділів російських спецслужб, а решта — від афілійованих злочинних хакерських груп. Найактивнішими є Sofacy Group (ГРУ ГШ РФ), APT29 (ФСБ РФ), Turla (ФСБ РФ), Sandworm (ГРУ), Armageddon, «Солнцепек».
Кібератаки поряд із ракетами: як змінилась поведінка росії у кіберпросторі у 2022-2024 роках
Незадовго до вторгнення російські кібергрупи активізувались. Зокрема, ніч з 13 на 14 січня 2022 року можна вважати першим актом війни у кібернетичному просторі. Тоді хакери атакували кілька десятків державних сайтів та банків, серед яких були сторінки Міністерства закордонних справ, Міністерства охорони здоров’я, порталу «Дія» та інших.
Після кібератаки у січні 2022 року в мережі щонайменше двічі з’являлися масиви даних, які містили особисту інформацію українців. Мінцифри переконує, що ці дані, нібито не мають нічого спільного з «Дією». Інформація про 13,5 млн українців — це нібито компіляція різних баз приватних компаній, що були злиті набагато раніше.
Загалом можна доволі чітко помітити узгодженість подій у кіберпросторі із певними політичними або воєнними подіями. Наприклад, 23-24 лютого 2022 року кібератака порушила супутниковий доступ до інтернету. Хакери відключили модеми, які зв’язуються із супутником KA-SAT компанії Viasat, яким, зокрема, користувались деякі українські військові сили. Відбулися атаки на державні та банківські сайти, а також на інші важливі інфраструктурні об’єкти, спричинені вірусом HermeticWiper. Атаки були спрямовані на підготовку до військового вторгнення.
Також майже усі ракетні обстріли інфраструктури супроводжувались спробами проникнути у систему цих державних або приватних підприємств.
Окрім того, підконтрольні росії підрозділи почали кампанію розсилок із шпигунським програмним забезпеченням, видаючи їх за повідомлення військового командування або пропозиції рекрутингу до різних підрозділів ЗСУ. Посилили атаки і на українські правоохоронні органи, щоб дізнатись, проти кого з прихованих агентів ведеться слідство.
Хоча повномасштабна війна триває майже три роки, кількість кібероперацій росії лише зростає. Хоча шкода від них зменшується.
У 2022 році Держспецзв’язку реєстрував 2194 кіберінциденти, з яких 1048 були серйозними або критичними. У 2023 році їх було 2554, з яких лише 367 були серйозними.
Однак навіть один промах може дорого коштувати. Наприклад, 12 грудня 2023 року найбільший український оператор «Київстар» зазнав потужної хакерської атаки, внаслідок якої мільйони абонентів втратили доступ до послуг мобільного зв’язку та інтернету.
Відповідальність за атаку взяла на себе російська хакерська група «Солнцепек», яка, ймовірно, використала скомпрометований обліковий запис одного зі співробітників компанії.
Цифровій інфраструктурі «Київстару» завдали критичних уражень, зокрема, було знищено тисячі віртуальних серверів і ПК. На повне відновлення послуг у компанії пішло кілька тижнів. Через атаку компанія втратила 10% річного виторгу, а загальні збитки можуть сягати майже 5 млрд грн.
Керівник департаменту кібербезпеки СБУ Ілля Вітюк каже, що російські хакери перебували у системі мобільного оператора «Київстар» із травня 2023 року, а щонайменше з листопада мали повний доступ до системи. У компанії наголошують, що зловмисники начебто не отримали доступ до персональних даних 24 млн абонентів.
Українські хакери: добровольці, ГУР, підконтрольні структури
Водночас Україна не лише захищає свої кіберсистеми, але вражає ворожі у відповідь. У кіберпросторі на користь України працюють як спецслужби (переважно Головне управління розвідки Міноборони), так і низка волонтерських організацій. Зокрема, IT ARMY of Ukraine, Український кіберальянс та різні групи хактивістів.
В IT ARMY of Ukraine до десяти тисяч хактивістів, які задіяні в операціях. Це у середньому декілька операцій на тиждень, але ця кількість може збільшуватися залежно від обставин та потреби реагувати на нові виклики. Український кіберальянс виник навесні 2016 року з об’єднання двох груп кіберактивістів FalconsFlame та Trinity, пізніше до нього приєдналася група кіберактивістів RUH8 та окремі кіберактивісти групи «КіберХунта». На рахунку групи кілька десятків успішних кібератак, серед яких зломи пропагандистського «першого каналу», міноборони рф, а також операція SurkovLeaks зі зливом до мережі листування помічника президента росії Владіслава Суркова у 2016 році.
Ні російські, ні українські офіційні структури не публікують зведеної інформації про українські кібератаки та основні цілі, тому відомими стають переважно успішні.
Кілька успішних атак українського кібервійська
- 8 червня 2023 року. Атака зі знищенням інфраструктури московського інтернет-провайдера «Інфотел», який забезпечував роботу центробанку та інших банків рф.
- 7 серпня 2023 року. Атака на московську базу даних нерухомості та її власників «МосміськБТІ». Хакери видалили дані з сервера, а скопійовану інформацію передали Силам оборони України.
- 30 жовтня 2023 року. Зламана платіжна система «Мир». Українські хакери запропонували росіянам замість рублів користуватися мушлями.
- 1 грудня 2023 року. Хакери Hdr0 протягом понад двох місяців змінювали показники лічильників Севастопольського водоканалу, а також «пробачили» усі борги користувачів з українськими e-mail.
- Серія кібератак на інфраструктуру з 20 по 31 грудня 2023 року. Атака на головну систему онлайн-кас та терміналів «Евотор», збитки отримав мільйон суб’єктів роздрібної торгівлі. DDoS-атаки на «1С», «Бітрікс» та банки. Операція проти російської залізниці та заморожування важливих логістичних вузлів.
- 8 січня 2024 року. Група KibOrg виклала у мережу повну базу даних російського Альфа-Банку з персональними даними 38 млн клієнтів фізичних та юридичних осіб.
- 9 січня 2024 року. Відповідь за «Київстар»: внаслідок атаки на інтернет-провайдера «М9ком» видалено понад 20 ТБ інформації, частина мешканців рф залишилися без інтернету та телебачення.
- 18 січня 2024 року. Атака на військове підприємство. Хакерська група Blackjack викрала понад 500 паспортів військових об’єктів, які містили технічні деталі, плани, схеми, фотографії та іншу конфіденційну інформацію.
- 24 січня 2024 року. Злом «Планети»: знищено базу даних центру космічної гідрометеорології, який надавав інформацію міноборони та генштабу рф. Сума збитків сягнула щонайменше $10 млн.
- 24-28 січня. Сбербанк рф зазнав найтривалішої у своїй історії кібератаки, яку здійснила IT ARMY of Ukraine. DDoS-атака тривала чотири дні, а голова правління банку визнав, що вона була «складною з погляду інструментів».
- Вересень 2024 року. Хакери ГУР масово атакували понад 800 серверів – військові, фінансові та адміністративні установи, які беруть безпосередню участь у війні проти України. Кіберкорпус ГУР знищив усі документи та дані, які на них зберігалися.
- 1 жовтня 2024 року. Унаслідок 24-годинної DDoS-атаки кіберфахівці ГУР паралізували роботу чотирьох банків, що незаконно здійснюють свою діяльність у тимчасово окупованому Криму.
Автор: Олександр Тартачний
Джерело: SPEKA