[Примечание редактора: оригинал этого материала был опубликован 27 мая 2022 года. Ситуация вокруг войны в Украине быстро меняется; для актуальной информации о конфликте предлагаем обратиться к обновляемым онлайнам [1] издания «Медуза».]
[Все ссылки в тексте — на английском языке, если не указано иное.]
3 января 2022 года компания Microsoft заметила необычную активность двух серверов Microsoft Exchange: пересылку большого объёма данных на IP-адреса. Расследование показало, что злоумышленники, идентифицированные позже как российские хакеры, использовали уязвимость [2] в Microsoft для кражи содержимого нескольких почтовых ящиков пользователей по всему миру, в том числе, пользователей Украины, Соединённых Штатов и Австралии. Это была первая из серии кибератак на Украину, включая блокировку правительственных [3] сайтов и размещение сообщений с угрозами [3], принуждавших украинцев снимать [4] наличные в банкоматах; DDoS [5]-атаки банковского сектора; угрозы бомбардировкой [6] школ; даже запуск вредоносного ПО [7], которое стирает все данные в сети.
Россия так и не признала эти атаки [5]; однако есть убедительные доказательства того, что Москва либо нанимает, либо поощряет российских хакеров [8] к созданию подобного хаоса.
Ранее Россия была замешана в кибератаках в Украине, Эстонии, Грузии и США. В 2014 году, за четыре дня до выборов в парламент в Украине [9], центральную избирательную систему страны поразило вредоносное ПО, которое выводило победителем пророссийского кандидата. Это ПО скомпрометировало и удалило важные файлы, а также вывело из строя систему подсчёта голосов. После закрытия избирательных участков ЦИК Украины столкнулась с DDoS-атаками, которые блокировали работу её сети. В результате комиссия не могла объявить результаты в течение двух часов. Именно в этот промежуток времени российские СМИ сообщили, что кандидат [10], которого они поддерживали, победил на выборах, набрав 37 процентов голосов.
В 2015 году российские кибервойска начали [11] дистанционные атаки вредоносного ПО против Украины. Это ПО, известное как BlackEnergy [12], было нацелено на личную электронную почту сотрудников различных энергетических компаний. Как только хозяин почты открывал приложение к письму, активировалось разрушительное вредоносное ПО KillDisk, которое стирает часть жесткого диска компьютера и блокирует перезагрузку системы. Это привело к отключению электроэнергии в Украине. Одновременно хакеры запустили TDoS-атаки (блокировка телефонных сервисов [13]), чтобы помешать гражданам звонить в центр помощи по электроснабжению и сообщать о потере электроэнергии. Эта двойная атака вызвала серьёзные перебои с электричеством в Украине, от чего пострадали более 225 000 граждан. Инцидент [14] считается первой удалённой атакой на общественную инфраструктуру с использованием кибероружия.
Проверенная стратегия: кибератаки на соседей России
В 2007 году, во время конфликта между Россией и Эстонией по поводу решения Таллинна перенести один из советских мемориалов, посвящённых памяти о Второй мировой войне [15], российские кибервойска взломали [16] банковскую систему и систему государственного управления Эстонии, захватив и использовав миллионы компьютеров по всему миру во время операции под названием BotNet [17]. По оценкам, в этой атаке Россия использовала более одного миллиона [18] компьютеров из различных стран. Эстония запросила [19] помощь НАТО в соответствии со статьёй V [20] о коллективной обороне, однако НАТО в то время не могла предложить поддержку. Эта ситуация привела к вопросу о кибератаках, требующих коллективной защиты организации. Позднее альянс [19]принял стратегическую концепцию [21] «предотвращения, обнаружения, защиты от кибератак и восстановления после них, включая использование процесса планирования НАТО для усиления и координации национальных возможностей киберзащиты, помещения всех членов НАТО под централизованную киберзащиту, улучшения интеграции киберосведомлённости, систем предупреждения и реагирования государств-членов НАТО».
В августе 2008 года Россия и Грузия вступили в вооружённый конфликт из-за Южной Осетии, территории, отделившейся от Грузии. Проводя военные операции, Россия наблюдала и контролировала DDoS-атаки [22] на многочисленные грузинские сайты, атаки, которые серьёзно повлияли на оказание коммуникационных и финансовых услуг. В ответ Национальный банк Грузии [16] 9 августа приказал всем банкам приостановить электронные услуги. К сожалению, физически инфраструктура Грузии была проложена по территории России и Азербайджана (помимо единственного оптоволоконного кабеля в Турцию). В ходе эскалации конфликта российские войска блокировали оптические кабели [22] международного телефонного трафика и захватили как сотовый, так и обычный международный телефонный трафик. Эта блокировка вызвала перегрузку остальных каналов, используемых гражданскими лицами и неправительственными организациями.
Из-за возникших проблем с каналами связи правительство Грузии решило подвергнуть цензуре российские новости и коммуникации, а также отфильтровать российские IP-адреса [23] из своей сети, чтобы остановить DDoS-атаки. Это временно уменьшило число нападений, но затем хакеры начали маскировать свои IP-адреса и атаковать грузинские сервисы на иностранных хостах. Например, российские хакеры штурмовали серверы в США с помощью DDoS после того, как правительство Грузии [23] перенесло свои сайты на частный веб-сервер в Атланте.
После российских цифровых DDoS-атак, множество прогрузинских хакеров [16] сконцентрировали свои усилия вокруг российских серверов, в том числе нескольких медиа-сайтов. Но вскоре из-за того, что российские веб-сайты, общение и новости были заблокированы, граждане Грузии оказались в информационной пустоте. Цензура СМИ и интернет-фильтрация вызвали панику и способствовали распространению слухов [22] и дезинформации о победе России.
Правительство Грузии оказалось неспособным развеять фейк-ньюз или установить прочную связь со своими гражданами. Атмосфера растерянности и подозрительности значительно повлияла на силу духа, что отразилось на поле битвы [23].
В этой войне Россия добилась победы, контролируя потоки, интернет и нарратив, отключив государственные службы, веб-сайты, финансовые серверы и лишив граждан Грузии доступа к информации.
Уроки для Украины
Из вышесказанного можно извлечь уроки для решения текущих проблем Украины. Когда в феврале 2022 года начались российские кибератаки на Украину, анонимный проукраинский хакерский коллектив объявил о взломе российских телеканалов для демонстрации проукраинских сообщений. В это же время был создан Telegram-канал [24], тысячи участников которого борются онлайн за Украину.
В отличие от Грузии в 2008 году, Украина пользуется [25] электронной поддержкой НАТО и её соседей. После того, как Россия направила свои войска в сторону Киева, НАТО [3] подписала с Украиной соглашение об усилении её кибервозможностей и предоставлении ей доступа к платформе обмена информацией о вредоносных программах альянса. Белый дом [26] также предложил украинскому правительству киберподдержку. Илон Маск предоставил [27] услугу спутниковой широкополосной связи Starlink для запуска государственных серверов. Кроме того, Европейский Союз сформировал группу быстрого реагирования [5] в киберпространстве (CRRT). Эта группа, возглавляемая Литвой, включает 12 экспертов [28] из Литвы, Хорватии, Польши, Эстонии, Румынии и Нидерландов, представляющих частные и государственные структуры [25]. Румыния также организовала партнёрство [29] для оказания бесплатной технической поддержки и информации об угрозах правительству, предприятиям и гражданам Украины.
Сложно оценить успешность попыток Украины отразить атаку. Один из результативных проектов был воплощён в жизнь девятого мая, когда хакеры прервали выступление Путина по телевидению [30] во время празднования Дня Победы. В этот день российские пользователи смарт-ТВ и онлайн-зрители увидели, что названия телепередач изменились [31], превратившись в «На ваших руках кровь тысяч украинцев и сотен их детей. ТВ и власти врут. Нет войне».
Удивительно, но, несмотря на имеющиеся возможности, российские хакеры нанесли лишь умеренный вред цифровой инфраструктуре Украины. Обе стороны допустили ошибки, подобные тем, которые произошли в Грузии. Недавно Путин заблокировал [32] все веб-сайты западных СМИ и социальные сети, такие как Facebook, Instagram и Twitter, чтобы насытить российских граждан российским дискурсом. Спецслужбы России также начали выборочно обыскивать граждан [33] на улицах, изымая мобильные телефоны и пытаясь найти там антивоенные посты, фотографии, видео или сообщения.
В то же время ЕС решил заблокировать [34] российские пропагандистские инструменты, такие как «Спутник» и «Russia Today». Президент Украины также закрыл [35] 20 марта одиннадцать левых оппозиционных партий, обвинённых в поддержке России; эти партии имеют 10 процентов мест в национальном парламенте.
В дополнение к санкциям, россиянам отказывают в доступе к интернет-услугам иностранных провайдеров [36], что делает российскую цензуру более эффективной. В то же время украинское правительство запретило и заблокировало некоторые голоса оппозиции. По мере развития войны урок от Грузии состоит в том, что решающую роль может сыграть поток информации к гражданам.