Киев хорошо подготовился к противостоянию кибератакам, предшествовавших прямой войне. Но сегодня чиновники опасаются большего наступления России на киберфронте.
Когда 14 января российские войска собрались на украинской границе, десятки украинских правительственных веб-сайтов сломали и на их страницах появились слова «Бойтесь и ждите худшего».
Украинские и западные чиновники по кибербезопасности расценили это скоординированное взлом как первоначальное предупреждение о том, что Россия будет вести страшную цифровую войну вместе с наземным вторжением в страну.
Вскоре после этого на энергетические и коммуникационные объекты провели серию серьезных кибератак, которые удалось быстро отразить.
Через месяц после начала войны украинские чиновники успокоились, что критические сети выдержали недели кибератак, но как предупредил один чиновник, большие ресурсы России означают, что она может неуклонно снижать украинское сопротивление в интернете. «Наши сети – это наши люди, – сказал он. – А Россия убивает наших людей»
Первая фаза украинско-российской кибервойны
Этот рассказ о первой фазе российской кибервойны против Украины базируется на интервью с украинскими и западными чиновниками, непосредственно знающими о событиях, о которых многие ранее не сообщались.
Приблизительно в то же время, когда украинские правительственные сайты сломали испорченные в январе, «Укрэнерго» — государственная электропередающая компания — заметила рост попыток взлома в ее сети.Инженеры компании уже находились в состоянии повышенной готовности, которым была поставлена задача не допустить повторения кибератаки 2017 года, когда российские хакеры отключили электроэнергию в части Киева. До февраля количество неудачных попыток было в три раза больше, чем годом ранее, сообщил советник Минэнергоугля Александр Харченко. Одна особенно смелая попытка включала скомпрометированного местного сотрудника, пытавшегося проникнуть вредоносным кодом в помещения компании.
«Они пробовали все, пытались проникнуть через наш веб-сайт, пробовали DDoS, – сказал Харченко, описывая атаки. – Это было 24/7».
В течение часа после того, как президент России Владимир Путин 24 февраля объявил о вводе войск в Украину, тысячи модемов Viasat в Центральной Европе лишились связи со спутниковой сетью. Viasat признала «кибер-событие», но не обвиняет Россию в этом.
По словам двух украинских официальных лиц, в Украине эта внезапная потеря соединения для передачи данных поразила ее разрозненные армейские базы. Но поскольку десятки военных модемов внезапно перестали работать, войска быстро перешли к другим зашифрованным коммуникациям.
«Всегда есть резервные системы, – сказал один из людей, осведомленных об инциденте. – Это было именно тогда, когда началась война, но команды были подготовлены для этой ситуации, чтобы избежать крушения любой ценой».
Украинские телекоммуникационные и энергетические сети в большинстве своем выдержали удары.А некоторые из тех, кто не выдержал, например, в Мариуполе, разрушился только после того, как дождь из ракет и минометов уничтожил физическую инфраструктуру, сказал Виктор Жора, украинский чиновник, которому поручено координировать киберзащиту Украины и западных союзников.
Интенсивность атак, кроме электросетей, с начала боевых действий упала, добавил он. «Сейчас у нас есть периоды более спокойные, чем раньше, и это можно объяснить концентрацией нашего противника на обычной войне на атаках на гражданских украинцев вместо ИТ-инфраструктуры», — говорит он.
Украинские инженеры, в том числе охраняющие гражданскую инфраструктуру от кибератак, смогли обратиться за помощью к западным компаниям, таким как Cisco, Microsoft и Google, которая сейчас защищает по меньшей мере 150 украинских фирм.
С ними периодически встречаются кибератаки жестокой интенсивности. 24 февраля, примерно в то время, когда разорвалось спутниковое соединение ViaSat, атаки по всей стране также совершали около 100 высококвалифицированных хакеров из десятка групп, связанных с Россией и Беларусью, сообщил заместитель секретаря НБУ Сергей Демадюк.
«Кибератаки на ИТ-инфраструктуру, предшествовавшие физическому вторжению и бомбардировке украинских городов, является самой сложной кибероперацией в истории и является одним из первых примеров того, как выглядит настоящая кибервойна», – сказал Демадюк.
В одном случае, по его словам, крупная украинская организация безопасности из более 5000 сотрудников и 1000 серверов предотвратила сокрушительную потерю всех данных, имея лишь через 90 минут после предупреждения партнера из США.
Эти атаки еще не прекратились. 14 марта финансовое учреждение, ставшее жертвой нападения в первый день войны, заметило очередную волну атак с помощью уничтожителя данных, отметили исследователи Symantec.
«Теперь у украинцев есть опыт, которого, возможно, не имели в 2015 году», — сказал Мэтт Олни, возглавляющий группу разведки угроз в Cisco. – Они усвоили уроки последних пяти-шести лет».
Олни помог исследовать оригинальную российскую атаку в 2015 году, уничтожившую часть энергетической сети Украины, и вредоносное программное обеспечение 2017 года под названием NotPetya, которое эффективно удалило большие части компьютерных систем.В Cisco работает около 500 человек, помогающих клиентам реагировать на атаки.
«[Украинцы] создали процессы, скучные вещи, учебники, – сказал Олни. – Те вещи, которые просто неприятно делать в мирное время. Теперь, когда мы очутились в этой критической ситуации, все усилия окупаются».
В одном случае бомбардировка требовала от инженеров физически перевезти серверы в другой город и вернуть их в режиме онлайн – кропотливая и сложная задача даже в обычное время, сказал он.
В ожидании большей кибератаки
Американские официальные лица предполагают, что часть удивительной стойкости Украины на поле кибербитвы объясняется тем, что Россия полностью не раскрыла свой потенциал для разрушительных нападений.
«Почему мы не видели настоящую команду А? – об этом заявил сенатор США Марк Уорнер на конференции на прошлой неделе. – Я все еще относительно поражен тем, что они на самом деле не запустили тот уровень злонамеренности, который включает их кибер-арсенал».
Другие, включая Олни из Cisco, предположили, что Россия использует свой кибер-арсенал для более традиционного шпионажа, такого как взлом западных сетей, чтобы предупредить санкции или следить за перемещением войск.
Также беспокоится, что Москва все еще может наброситься на более широкий спектр целей. Во вторник президент США Джо Байден предупредил американский бизнес крепить свои кибер-баррикады в ожидании российской кибератаки.
По материалам: Financial Times
