Кібервійська РФ мають величезний арсенал шкідливих програм. Але оцінювати хакерів за кількістю засобів зламу – все одно, що оцінювати піхоту за кількістю витрачених набоїв, пише The Economist.
Кібернетичний бліцкриг Росії провалився, вважають експерти. В українському Forbes вибрали головне.
У день повномасштабного вторгнення в Україну російські хакери атакували провайдера супутникового зв’язку Viasat. Одним із її клієнтів були Збройні сили України. Ця кібератака стала не єдиною напередодні вторгнення. У січні, а згодом 23 лютого, фахівці помітили на сотнях українських систем так звані «вайпери» – програми, призначені для видалення даних.
Потім, у квітні, коли російська армія втекла з-під Києва, хакери з угруповання Sandworm (підозрюється, що воно працює під прикриттям ГРУ Росії), використали шкідливе програмне забезпечення Industroyer2 для атаки на електромережі країни.
Але результати російських кібератак виявилися напрочуд скромними. «Ми очікували набагато серйозніших наслідків, – розповіла старша кіберофіцерка Пентагону Міке Еоянг. – Російські кібервійська, як і їхня звичайна армія, виявилися не такими вже й грізними, як вважалося». У перші дні війни Україна залишалася онлайн. Електрика подавалась, навіть коли навколо столиці точилися бої. Банки працювали. Зв’язок не зник.
Мережі на замку
Головною причиною російських невдач став український кіберзахист. Глава британського Національного центру кібербезпеки (NCSC) Лінді Кемерон вважає, що наступ Росії був «імовірно, найтривалішою та найінтенсивнішою кіберкампанією в історії». Але, як зазначив глава британського управління урядового зв’язку Джеремі Флемінг, реакція України була «можливо, найефективнішою в історії кіберзахисту».
Україна багато років була «випробувальним полігоном» для російських кібервійськ. Наприклад, попередник Industroyer2 – вірус Industroyer – викликав відключення електрики у 2016-му. Це дало Україні уявлення про російські кібератаки та час на зміцнення своєї інфраструктури.
Кіберкомандування України підготувало план дій у разі непередбачених обставин. Одні співробітники переїхали з Києва до безпечніших регіонів країни. Інші перемістилися на командні пункти поблизу лінії фронту. Найважливіші послуги перевезли центри обробки даних до інших країн Європи. Збройні сили України, знаючи, що супутники можуть вивести з ладу, підготували альтернативні лінії зв’язку. Атака на Viasat, зрештою, «не мала жодного тактичного впливу на український військовий зв’язок та операції», – розповів заступник голови Держспецзв’язку України Віктор Жора.
Допомога Заходу також мала важливе значення. Напередодні війни одним зі способів розширення співробітництва з НАТО було надання Україні доступу до бібліотеки кіберзагроз – сховища відомих шкідливих програм. Велика Британія надала підтримку в $7,3 млн, зокрема брандмауери та засоби аналізу вторгнень. Співпраця була взаємовигідною. «Від українців ми дізналися більше про російські кіберзагрози, ніж самі могли їм розповісти», – зазначає колишній керівник відділу кіберпроблем в управлінні урядового зв’язку Великої Британії Маркус Віллетт.
Як не парадоксально, захисту України допомогло й те, що деякі промислові системи управління були застарілими – успадкованими з радянських часів. Коли, наприклад, Industroyer ударив по електричних підстанціях Києва у 2016-му, інженери вручну перезапустили їх за кілька годин. Коли у квітні через атаку Industroyer2 відключилася частина мережі, її повернули в дію за чотири години.
Приватні компанії, які опікуються кібербезпекою, також відіграли помітну роль у захисті українських мереж. Віктор Жора виділяє компанії Microsoft та Eset. Microsoft стверджує, що штучний інтелект, який може сканувати код швидше за людину, полегшив виявлення атак. 3 листопада президент Microsoft Бред Сміт оголосив, що його компанія надаватиме Україні безплатну технічну підтримку до кінця 2023 року. Вартість підтримки, яку Microsoft надає Україні, зросте до $400 млн.
Кострубата робота й зарозумілість
Україна, безперечно, добре захищалася. Але є й ті, хто вважає, що здібності кібервійськ Росії дуже переоцінені. Російські шпигуни мають десятиліття досвіду електронного шпигунства, але кібервійська – порівняно молода організація, зазначає колишній директор з політики щодо Росії в Раді національної безпеки США Гевін Вайлд. Америка почала інтегрувати кіберплани у військові операції під час воєн на Гаїті та в Косові в 1990-х роках. Росія займається розвитком кібервійськ лише близько шести років, каже Вайлд.
Американські, європейські та українські чиновники кажуть, що є багато прикладів російських кібератак, синхронізованих із фізичними атаками, що свідчить про певну координацію між цими двома напрямами. Але були й безглузді помилки. Джеремі каже, що в деяких випадках російські військові удари виводили з ладу мережі, які намагалися зламати російські кібервійська. Це змусило українців повернутись до більш захищених засобів зв’язку.
Інші фахівці вважають, що російські хакери вміють зламувати мережі, але роблять це незграбно. У квітні вищий чиновник розвідки НАТО зазначив, що з моменту вторгнення Росія використала проти України стільки шкідливих програм, скільки «всі інші кібердержави світу разом узяті зазвичай використовують за рік». Але оцінювати кібервійська за кількістю шкідливих програм – усе одно, що оцінювати піхоту за кількістю витрачених патронів.
Автор книжки «Наступальні кібероперації» Деніел Мур каже, що всі російські атаки на критичну інфраструктуру в Україні та за її межами були розкриті, рясніли помилками або виходили за межі наміченої мети. Наприклад, програма-вимагач NotPetya, атака якої відбулася у 2017-му, вирвалася за межі України та завдала збитків у $10 млрд у всьому світі.
Але інші попереджають, що кібервійна Росії обмежена не так відсутністю здібностей у її хакерів, як зарозумілістю військових. Експерти вважають, що агресор не проводив руйнівних атак на енергетику, енергопостачання і транспорт не тому, що не міг цього зробити, а тому, що сподівався на швидку окупацію Україну та успадкування її інфраструктури.
Натомість війна затяглася, і кібервійськам довелося пристосовуватися. Але кіберзброя не схожа на фізичну: її не можна просто перенаправити на іншу мету. Воно має бути спеціально адаптовано до конкретних завдань.
Складні атаки, як-от виведення з ладу терміналів Viasat, вимагають величезної підготовки та вивчення ворожих мереж. Леннарт Машмайєр із Цюрихського університету показав, що планування атаки ГРУ на енергосистему України у 2015-му забрало 19 місяців. Атака 2016-го на електромережі – два з половиною роки. Але після таких атак противнику стають відомі інструменти зламу, що використовуються. Це призводить до зниження їх ефективності.
Коли російська армія пішла з Київської області на Донбас, кількість атак програмами-вайперами різко скоротилася. У листопаді дослідники з компанії з кібербезпеки Mandiant, що належить Alphabet, розповіли, що ГРУ тепер атакує пристрої на кордонах мереж – маршрутизатори, брандмауери та сервери електронної пошти. Це робиться, щоб проводити атаки швидше, але на шкоду потайності.
Росія продовжить атаки
Диверсії на трубопроводах «Північний потік» 1 та 2 й ракетні обстріли енергосистеми України свідчать про те, що Кремль готовий підвищувати ставки. Помітно це й у кіберпросторі. Один із британських чиновників каже, що Росія, пам’ятаючи про інцидент із вірусом NotPetya, спочатку прагнула обмежити свої атаки Україною та не сваритися з НАТО. Але ситуація може змінитись. Наприкінці вересня група Sandworm здійснила першу атаку на ціль у країнах НАТО. Шкідлива програма Prestige атакувала системи логістики у Польщі, через яку західну зброю везуть до України.
Багато вторгнень могли залишитися непоміченими. Наприклад, атаку на сайт Львівської ОВА було виявлено лише на пізній стадії. Часто видно лише симптоми, а не причину. «Це ніби в когось був кашель чи низький рівень кисню в крові. Ми тільки зараз дізналися, що це може бути COVID. Те саме й зі шкідливими програмами. Ми часто виявляємо їх, коли вони вже проникли до мережі, коли бачимо аномалії в її роботі», – розповідає один з експертів.
Один із колишніх українських політиків підтверджує, що найцінніший внесок українських кібервійськ – викриття таємниць, наприклад даних про європейські компанії, які порушують американські санкції проти Росії. «Є інші речі, про які я не можу говорити, але це виняткова робота», – стверджує він. Остаточні підсумки кібероперацій в Україні можуть залишатися невідомими ще багато років.
Переклад тексту The Economist здійснено виданням FORBES.ua