Скриншот из репортажа Today’s о децентрализованных атаках в Рунете

[Примечание редактора: оригинал этого материала был опубликован 8 марта 2022 года. Ситуация вокруг войны в Украине быстро меняется; для актуальной информации о конфликте предлагаем обратиться к обновляемым онлайнам издания «Медуза».]

[Все ссылки в тексте — на английском языке, если не указано иное.]

С 2008 года Россию превозносят как цифровую сверхдержаву. В прошлом с помощью российских кибератак выводили из строя электрические сети, вмешивались в выборы, разоряли корпорации, останавливали работу военной инфраструктуры. Страны по всему миру готовятся к увеличению числа кибератак, опасаясь, что Россия ответит на санкции проникновением в глобальные сети. В интернете нет границ и даже локальная атака легко может трансформироваться в нападение на весь мир. С 24 февраля никаких эффективных кибернападений из Москвы не наблюдается.

Цикл неудач может спровоцировать Россию на более серьёзные и дерзкие цифровые атаки на городскую инфраструктуру, цепочки поставок и военную технику по всему миру. Возможно также, что Россия не использовала в полной мере свои кибервозможности. С другой стороны, украинское правительство может быть полностью готово отразить большинство атак России. В любом случае, пришло время серьёзно оценить российского цифрового буку.

Российская история кибервойн

Российские военные впервые использовали киберподдержку в ходе вторжения в Грузию в августе 2008 года. Цифровые атаки начались за несколько недель до физического ввода войск. Двадцатого июля сайт тогдашнего президента Михаила Саакашвили подвергся атаке распределённого отказа в обслуживании (DDoS), когда портал переполняется интернет-трафиком до тех пор, пока не перестанет функционировать. Весь сфабрикованный трафик содержал фразу «победа+любовь+в+России». Сайт президента был недоступен более 24 часов.

В начале войны с Грузией цифровые атаки были сосредоточены на формировании и отказе в информации. Президент Саакашвили не смог подключиться к интервью CNN после сбоя в работе грузинской системы передачи голоса по интернет-протоколу (VoIP). Девятого августа DDoS-атаки привели к закрытию Национального банка Грузии. На сайтах президента и Министерства иностранных дел страны был вывешен коллаж с фотографиями Михаила Саакашвили и Адольфа Гитлера. Внутренний трафик с правительственных грузинских сайтов также перенаправлялся на пророссийские новостные источники, сообщающие о войне.

Изображение, размещённое на сайте Министерства иностранных дел Грузии после российского взлома

Дебютировав со своими кибервозможностями в Грузии, в Украине Россия их усовершенствовала. После того, как Украина в середине 2013 года поддержала Соглашение об ассоциации с Европейским союзом, Россия организовала операцию «Армагеддон», чтобы похитить информацию у украинского правительства и военных. Во время протестов на Майдане, когда украинцы вышли в центр Киева против пророссийского Владимира Януковича, Россия начала операцию «Змея» по выкачиванию данных с государственных серверов Украины. Аналогичным образом российские хакеры взломали систему подсчёта голосов перед парламентскими выборами в октябре 2014 года.

Большинство российских кибератак с 2014 года были направлены на критически важную инфраструктуру Украины. В 2015 и 2016 годах российские хакеры проникли в украинские электросети «Прикарпатьеоблэнерго» и «Черновциоблэнерго». В обоих случаях была удалённо отключена подача электроэнергии, в результате чего жители Ивано-Франковска (Западная Украина) и Киева оставались без света более пяти часов. В 2016 году Госказначейство, Минфин и Пенсионный фонд были закрыты на два дня.

Из-за того, что интернет связывает всё и вся, даже локальные кибератаки могут быстро стать глобальными. Вирус Petya, разработанный для украинских банков, электроэнергетических компаний, СМИ и правительственных сайтов, 27 июня 2017 года стал «самой опустошительной кибератакой в ​​​​истории». За считанные дни вирус перекинулся от систем радиационного контроля в Чернобыле на глобальную судоходную компанию Maersk и ещё сотни корпораций. По оценкам, эта атака обошлась миру в 10 миллиардов долларов США.

Цифровое вторжение России в Украину

Первые дни вторжения в 2022 году позволяют предположить, что Россия использует тот же сценарий, что и в Грузии. Кибератаки сосредоточены на правительственных сайтах, СМИ и критической финансовой инфраструктуре. Но с 24 февраля большая часть цифровых атак предотвращалась. Украина использует кибергруппы самообороны как для защиты своих собственных систем, так и для нападения на российские.

Как и в случае с войной России в Грузии, до реального вторжения в Украину РФ начала цифровую битву. В результате российской атаки 14 января 2022 года было отключено более 70 украинских государственных сайтов. Там появились картинки на украинском, русском и польском языках с надписью «бойтесь и ждите худшего… это за ваше прошлое, настоящее и будущее… и за исторические земли». Все сайты были восстановлены в течение нескольких часов.

Изображение, размещённое на первой полосе правительственных сайтов Украины после российских хакерских атак

Параллельная атака стартовала 13 января 2022 года. Центр Microsoft Threat Intelligence Center (MSTIC) обнаружил вредоносное ПО Whisper Gate, способное безвозвратно удалить все файлы на компьютере жертвы. В MSTIC отметили, что вредоносное ПО предназначалось для «государственных, некоммерческих и информационных организаций, базирующихся в Украине». Всего за несколько часов Microsoft выпустила программу для удаления заразного вредоносного ПО.

За день до вторжения Россия развернула две операции с вредоносными программами, вновь нацеленными на правительство Украины. По коду вредоносного ПО Isaac Wiper и Hermetic Wiper можно предположить, что атаки планировались за несколько месяцев: код обнаруживался на целевых компьютерах как минимум с 28 декабря 2021 года. Вредоносное ПО предназначалось для стирания данных с жесткого диска и быстрого распространения по системам.

Основная цель кибервойны — захват потока информации и нарушение работы жизненно важных служб. С начала войны Украина не сталкивалась с серьёзными помехами в этой сфере. Украинский интернет продолжает работать, президент Владимир Зеленский по-прежнему доминирует в публичном пространстве о войне через депеши со смартфонов, а в мире в основном запрещены новостные каналы, поддерживаемые российским государством.

Самое главное, что в отличие от войны в Грузии и Крыму информационный натиск России не работает в Украине. Украинцы как никогда едины в отрицании российской дезинформации. Крупнейшие медиакомпании Украины объединились на одной платформе, чтобы транслировать целостный нарратив. Официальные Telegram-каналы в основном успешно блокируют российских ботов и передают официальные правительственные сообщения.

И оказалось, что не Украина, а Россия стала самой большой жертвой кибервойны. Российские медиакомпании ТАСС, «Коммерсантъ», «Известия», «Фонтанка», Forbes, РБК и более 300 государственных сайтов были временно отключены 28 февраля и показывали антипутинские сообщения. Российские телеканалы были захвачены и некоторое время крутили украинские песни. В сеть попали документы белорусских производителей оружия и российского Сбербанка.

Правда о войне в Украине распространяется по России всеми возможными способами. На отключенных российских сайтах демонстрировалось сообщение: «Дорогие граждане. Призываем вас прекратить это безумие, не отправляйте своих сыновей и мужей на верную смерть. Путин заставляет нас врать и подвергает опасности». Седьмого марта государственные телеканалы по всей России были взломаны, чтобы показать кадры войны в Украине.

Украинское правительство громко просит глобальной помощи в киберпространстве. Министр цифровой трансформации Украины Михаил Фёдоров призвал хакеров всего мира присоединиться к виртуальной борьбе против России. Хакерские форумы 24 февраля начали набор добровольцев под лозунгом «Украинское киберсообщество! Пришло время заняться киберзащитой нашей страны».

Цифровая война в Украине превратилась в глобальную, принимающую всех желающих. Независимые и поддерживаемые государством атаки как в России, так и на Украине, скорее всего, создадут ещё больше путаницы на местах. Как организация, так и координация атак становятся невозможными. Хотя остаётся неясным, намерено ли и способно ли российское правительство вести более разрушительную кибервойну, весь мир следит за украинскими интернет-сетями.

Эксперты из Израиля, США и Сингапура предупреждают, что кибератаки только начинаются и неизбежно станут глобальной проблемой. Джеймс Салливан из британского аналитического центра по обороне и безопасности RUSI отмечает: «Мы по-прежнему должны помнить о том, что Россия, имея правильную стратегическую цель и достаточное количество ресурсов, несомненно, сосредоточится на западной инфраструктуре, если это сможет дать ей преимущество».

Больше информации читайте в нашей специальной рубрике «Россия вторглась в Украину».