Київ добре підготувався до протистояня кібератакам, що передували прямій війні. Але сьогодні чиновники побоюються більшого наступу Росії на кіберфронті.
Коли 14 січня російські війська зібралися на українському кордоні, десятки українських урядових веб-сайтів зламали та на їхніх сторінках з’явилися слова «Бійтеся і чекайте найгіршого».
Українські та західні чиновники з кібербезпеки розцінили цей скоординований злом як початкове попередження про те, що Росія буде вести страшну цифрову війну разом із наземним вторгненням в країну.
Незабаром після цього на енергетичні та комунікаційні об’єкти здійснили серію серйозних кібератак, які вдалося швидко відбити.
Через місяць після початку війни українські чиновники заспокоїлися, що критичні мережі витримали тижні кібератак, але, як попередив один чиновник, великі ресурси Росії означають, що вона може неухильно знижувати український опір в інтернеті. «Наші мережі — це наші люди, — сказав він. – А Росія вбиває наших людей»
Перша фаза українсько-російської кібервійни
Ця розповідь про першу фазу російської кібервійни проти України базується на інтерв’ю з українськими та західними чиновниками, які безпосередньо знають про події, про багато з яких раніше не повідомлялися.
Приблизно в той самий час, коли українські урядові сайти зламали зіпсовані в січні, «Укренерго» – державна електропередавальна компанія – помітила зростання спроб злому в її мережі.
Інженери компанії вже були в стані підвищеної готовності, яким було поставлено завдання не допустити повторення кібератаки 2017 року, коли російські хакери відключили електроенергію в частині Києва. До лютого кількість невдалих спроб була втричі більше, ніж роком раніше, повідомив радник Міненерговугілля Олександр Харченко. Одна особливо смілива спроба включала скомпрометованого місцевого співробітника, який намагався проникнути шкідливим кодом до приміщень компанії.
«Вони пробували все, намагалися проникнути через наш веб-сайт, пробували DDoS, – сказав Харченко, описуючи атаки. – Це було 24/7».
Протягом години після того, як президент Росії Володимир Путін 24 лютого оголосив про введення військ в Україну, тисячі модемів Viasat у Центральній Європі втратили зв’язок із супутниковою мережею. Viasat визнала «кібер-подію», але не звинувачує Росію в цьому.
За словами двох українських офіційних осіб, в Україні ця раптова втрата з’єднання для передачі даних вразила її розрізнені армійські бази. Але оскільки десятки військових модемів раптово перестали працювати, війська швидко перейшли до інших зашифрованих комунікацій.
«Завжди є резервні системи, – сказав один із людей, обізнаних про інцидент. – Це було саме тоді, коли почалася війна, але команди були підготовлені для цієї ситуації, щоб уникнути катастрофи будь-якою ціною».
Українські телекомунікаційні та енергетичні мережі здебільшого витримали удари. А деякі з тих, що не витримали, наприклад, у Маріуполі, зруйнувалися лише після того, як дощ з ракет та мінометів знищив фізичну інфраструктуру, сказав Віктор Жора, український чиновник, якому доручено координувати кіберзахист України та західних союзників.
Інтенсивність атак, окрім електромереж, з початку бойових дій впала, додав він. «Зараз у нас є періоди спокійніші, ніж раніше, і це можна пояснити концентрацією нашого супротивника на звичайній війні на атаках на цивільних українців замість ІТ-інфраструктури», – каже він.
Українські інженери, зокрема ті, хто охороняє цивільну інфраструктуру від кібератак, змогли звернутися за допомогою до західних компаній, таких як Cisco, Microsoft та Google, яка зараз захищає щонайменше 150 українських фірм.
З ними періодично трапляються кібератаки жорстокої інтенсивності. 24 лютого, приблизно в той час, коли розірвалося супутникове з’єднання ViaSat, атаки по всій країні також здійснювали близько 100 висококваліфікованих хакерів із майже десятка груп, пов’язаних з Росією та Білоруссю, повідомив заступник секретаря НБУ Сергій Демадюк.
«Кібератаки на ІТ-інфраструктуру, які передували фізичному вторгненню та бомбардуванню українських міст, є найскладнішою кібероперацією в історії та є одним із перших прикладів того, як виглядає справжня кібервійна», – сказав Демадюк.
В одному випадку, за його словами, велика українська організація безпеки з понад 5000 співробітників і 1000 серверів запобігла нищівній втраті всіх даних, маючи лише за 90 хвилин після попередження партнера з США.
Ці атаки ще не припинилися. 14 березня фінансова установа, яка стала жертвою нападу у перший день війни, помітила чергову хвилю атак з допомогою знищувача даних, зазначили дослідники Symantec.
«Тепер українці мають досвід, якого, можливо, не мали у 2015 році», — сказав Метт Олні, який очолює групу розвідки загроз у Cisco. – Вони засвоїли уроки останніх п’яти-шести років».
Олні допоміг дослідити оригінальну російську атаку в 2015 році, яка знищила частину енергетичної мережі України, і зловмисне програмне забезпечення 2017 року під назвою NotPetya, яке ефективно видалило великі частини комп’ютерних систем. У Cisco працює близько 500 людей, які допомагають клієнтам реагувати на атаки.
«[Українці] створили процеси, нудні речі, підручники, – сказав Олні. – Ті речі, які просто неприємно робити в мирний час. Тепер, коли ми опинилися в цій критичній ситуації, всі зусилля окупаються».
В одному випадку бомбардування вимагало від інженерів фізично перевезти сервери в інше місто та повернути їх у режимі онлайн — кропітка і складна задача навіть у звичайний час,, сказав він.
В очікуванні більшого кібернападу
Американські офіційні особи припускають, що частина дивовижної стійкості України на полі кібербитви пояснюється тим, що Росія не повністю розкрила свій потенціал для руйнівних нападів.
«Чому ми не бачили справжню команду А?, – про це заявив сенатор США Марк Уорнер на конференції минулого тижня. – Я все ще відносно вражений тим, що вони насправді не запустили той рівень зловмисності, який включає їх кібер-арсенал».
Інші, у тому числі Олні з Cisco, припустили, що Росія використовує свій кібер-арсенал для більш традиційного шпигунства, такого як злом західних мереж, щоб попередити санкції або стежити за переміщенням військ.
Також зростає занепокоєння, що Москва все ще може накинутися на більш широкий спектр цілей. У вівторок президент США Джо Байден попередив американський бізнес зміцнювати свої кібер-барикади в очікуванні російської кібератаки.
За матеріалами: Financial Times