Скриншот из репортажа [1] Today’s о децентрализованных атаках в Рунете
[Примечание редактора: оригинал этого материала был опубликован 8 марта 2022 года. Ситуация вокруг войны в Украине быстро меняется; для актуальной информации о конфликте предлагаем обратиться к обновляемым онлайнам [2] издания «Медуза».]
[Все ссылки в тексте — на английском языке, если не указано иное.]
С 2008 года Россию превозносят как цифровую сверхдержаву [3]. В прошлом с помощью российских кибератак выводили из строя электрические сети [4], вмешивались в выборы [5], разоряли корпорации [6], останавливали работу военной инфраструктуры [7]. Страны по всему миру готовятся к увеличению числа кибератак, опасаясь, что Россия ответит [8] на санкции проникновением в глобальные сети. В интернете нет границ и даже локальная атака легко может трансформироваться в нападение на весь мир [9]. С 24 февраля никаких эффективных кибернападений из Москвы не наблюдается [10].
Цикл неудач может спровоцировать Россию на более серьёзные и дерзкие цифровые атаки на городскую инфраструктуру, цепочки поставок и военную технику по всему миру. Возможно также, что Россия не использовала в полной мере свои кибервозможности. С другой стороны, украинское правительство может быть полностью готово отразить [11] большинство атак России. В любом случае, пришло время серьёзно оценить российского цифрового буку.
Российская история кибервойн
Российские военные впервые использовали киберподдержку в ходе вторжения в Грузию в августе 2008 года. Цифровые атаки начались за несколько недель [12] до физического ввода войск. Двадцатого июля сайт тогдашнего президента Михаила Саакашвили подвергся атаке распределённого отказа в обслуживании (DDoS), когда портал переполняется интернет-трафиком до тех пор, пока не перестанет функционировать. Весь сфабрикованный трафик содержал фразу «победа+любовь+в+России». Сайт президента был недоступен более 24 часов.
В начале войны с Грузией цифровые атаки были сосредоточены на формировании и отказе в информации. Президент Саакашвили не смог подключиться к интервью CNN после сбоя [13] в работе грузинской системы передачи голоса по интернет-протоколу (VoIP). Девятого августа DDoS-атаки привели к закрытию [12] Национального банка Грузии. На сайтах президента и Министерства иностранных дел страны был вывешен коллаж с фотографиями Михаила Саакашвили и Адольфа Гитлера. Внутренний трафик с правительственных грузинских сайтов также перенаправлялся [12] на пророссийские новостные источники, сообщающие о войне.
Изображение [14], размещённое на сайте Министерства иностранных дел Грузии после российского взлома
Дебютировав со своими кибервозможностями в Грузии, в Украине Россия их усовершенствовала. После того, как Украина в середине 2013 года поддержала Соглашение об ассоциации с Европейским союзом, Россия организовала операцию «Армагеддон» [15], чтобы похитить информацию у украинского правительства и военных. Во время протестов на Майдане [16], когда украинцы вышли в центр Киева против пророссийского Владимира Януковича, Россия начала операцию «Змея» [17] по выкачиванию данных с государственных серверов Украины. Аналогичным образом российские хакеры взломали [5] систему подсчёта голосов перед парламентскими выборами в октябре 2014 года.
Большинство российских кибератак с 2014 года были направлены на критически важную инфраструктуру Украины. В 2015 и 2016 годах российские хакеры проникли [18] в украинские электросети «Прикарпатьеоблэнерго» и «Черновциоблэнерго». В обоих случаях была удалённо отключена подача электроэнергии, в результате чего жители Ивано-Франковска (Западная Украина) и Киева оставались без света более пяти часов. В 2016 году Госказначейство, Минфин и Пенсионный фонд были закрыты [19] на два дня.
Из-за того, что интернет связывает всё и вся, даже локальные кибератаки могут быстро стать глобальными. Вирус Petya [20], разработанный для украинских банков, электроэнергетических компаний, СМИ и правительственных сайтов, 27 июня 2017 года стал «самой опустошительной кибератакой в истории». За считанные дни вирус перекинулся от систем радиационного контроля в Чернобыле на глобальную судоходную компанию Maersk и ещё сотни корпораций. По оценкам, эта атака обошлась миру [20] в 10 миллиардов долларов США.
Цифровое вторжение России в Украину
Первые дни вторжения в 2022 году позволяют предположить, что Россия использует тот же сценарий, что и в Грузии. Кибератаки сосредоточены на правительственных сайтах, СМИ и критической финансовой инфраструктуре. Но с 24 февраля большая часть цифровых атак [21] предотвращалась. Украина использует кибергруппы самообороны как для защиты своих собственных систем, так и для нападения на российские.
Как и в случае с войной России в Грузии, до реального вторжения в Украину РФ начала цифровую битву. В результате российской атаки [22] 14 января 2022 года было отключено более 70 украинских государственных сайтов. Там появились картинки на украинском, русском и польском языках с надписью «бойтесь и ждите худшего… это за ваше прошлое, настоящее и будущее… и за исторические земли». Все сайты были восстановлены в течение нескольких часов.
Изображение [23], размещённое на первой полосе правительственных сайтов Украины после российских хакерских атак
Параллельная атака стартовала 13 января 2022 года. Центр Microsoft Threat Intelligence Center (MSTIC) обнаружил вредоносное ПО Whisper Gate [24], способное безвозвратно удалить все файлы на компьютере жертвы. В MSTIC отметили [24], что вредоносное ПО предназначалось для «государственных, некоммерческих и информационных организаций, базирующихся в Украине». Всего за несколько часов Microsoft выпустила программу [25] для удаления заразного вредоносного ПО.
За день до вторжения Россия развернула две операции с вредоносными программами, вновь нацеленными на правительство Украины. По коду вредоносного ПО Isaac Wiper [26] и Hermetic Wiper [26] можно предположить, что атаки планировались за несколько месяцев [26]: код обнаруживался на целевых компьютерах как минимум с 28 декабря 2021 года [27]. Вредоносное ПО предназначалось для стирания данных с жесткого диска и быстрого распространения по системам.
Основная цель кибервойны — захват потока информации и нарушение работы жизненно важных служб. С начала войны Украина не сталкивалась с серьёзными помехами [28] в этой сфере. Украинский интернет продолжает работать, президент Владимир Зеленский по-прежнему доминирует в публичном пространстве о войне [29] через депеши со смартфонов, а в мире в основном запрещены [30] новостные каналы, поддерживаемые российским государством.
Самое главное, что в отличие от войны в Грузии и Крыму информационный натиск России не работает в Украине [31]. Украинцы как никогда едины в отрицании российской дезинформации. Крупнейшие медиакомпании Украины объединились [32] на одной платформе, чтобы транслировать целостный нарратив. Официальные Telegram-каналы в основном успешно блокируют российских ботов [33] и передают официальные правительственные сообщения.
И оказалось, что не Украина, а Россия стала самой большой жертвой кибервойны. Российские медиакомпании ТАСС, «Коммерсантъ», «Известия», «Фонтанка», Forbes, РБК и более 300 государственных сайтов были временно отключены [34] 28 февраля и показывали антипутинские сообщения. Российские телеканалы были захвачены [35] и некоторое время крутили украинские песни. В сеть попали [36] документы белорусских производителей оружия и российского Сбербанка.
Правда о войне в Украине распространяется по России всеми возможными способами. На отключенных российских сайтах демонстрировалось сообщение [37]: «Дорогие граждане. Призываем вас прекратить это безумие, не отправляйте своих сыновей и мужей на верную смерть. Путин заставляет нас врать и подвергает опасности». Седьмого марта государственные телеканалы по всей России были взломаны [38], чтобы показать кадры войны в Украине.
Украинское правительство громко просит глобальной помощи в киберпространстве. Министр цифровой трансформации Украины Михаил Фёдоров призвал хакеров всего мира [39] присоединиться к виртуальной борьбе против России. Хакерские форумы 24 февраля начали набор добровольцев [40] под лозунгом «Украинское киберсообщество! Пришло время заняться киберзащитой нашей страны».
Цифровая война в Украине превратилась в глобальную [41], принимающую всех желающих. Независимые и поддерживаемые государством атаки как в России, так и на Украине, скорее всего, создадут ещё больше путаницы на местах. Как организация, так и координация атак становятся невозможными [41]. Хотя остаётся неясным, намерено ли и способно ли российское правительство вести более разрушительную кибервойну, весь мир следит [42] за украинскими интернет-сетями.
Эксперты из Израиля, США и Сингапура предупреждают, что кибератаки только начинаются [42] и неизбежно станут глобальной проблемой. Джеймс Салливан из британского аналитического центра по обороне и безопасности RUSI отмечает [43]: «Мы по-прежнему должны помнить о том, что Россия, имея правильную стратегическую цель и достаточное количество ресурсов, несомненно, сосредоточится на западной инфраструктуре, если это сможет дать ей преимущество».
