Безопасность
Конфликты
Постсоветское пространство

Кибероперации в ходе российского вторжения в Украину в 2022 году

Нурлан Алиев о том, почему России до сих пор не удалось сломать украинские системы киберзащиты

Read in english
Фото: Scanpix

Репутация России как страны-организатора широкого спектра успешных операций по кибершпионажу и саботажу сложилась еще в 1990-е гг. До начала полномасштабного вторжения в Украину в феврале 2022 года РФ провела несколько кибератак на соседнюю страну. Одной из самых изощренных операций стал блэкаут Киева — отключение части киевской электросети в 2016 году. В полночь, за неделю до Рождества, хакеры атаковали подстанцию к северу от Киева, обесточив пятую часть украинской столицы c точки зрения объема потребления электроэнергии. По мнению экспертов, со времен Stuxnet это был первый случай атаки объекта физической инфраструктуры при помощи реально существующего вредоносного программного обеспечения.

С начала вторжения в 2022 году Россия провела уже несколько кибератак против Украины, но каких-то впечатляющих результатов на этом направлении достигнуто не было. В связи с этим возникает вопрос: значит ли это, что Россия просто еще не использовала в этой войне свои высокотехнологичные кибервозможности или качество киберзащиты Украины и ее союзников помогло снизить вредоносный потенциал российских хакеров. Попробуем исследовать здесь эти вопросы более подробно.

Кибератаки, совершенные с начала 2022 года

После 24 февраля интенсивность российских киберопераций возросла по сравнению с 2014—2021 гг., однако как минимум в период с начала вторжения и до октября 2022 года эти кибераоперации не нанесли существенного ущерба украинской инфраструктуре. В отчетах, опубликованных после февраля 2022 года, выдвигаются две соперничающие между собой гипотезы, объясняющие провалы российских кибератак. Первая гипотеза опирается на выводы исследований Тетяны Маляренко и Бориса Кормича, согласно которым кибервойна России против Украины уже достигла максимально возможного уровня сложности, поэтому либо с российской стороны осталось слишком мало места для качественного роста, либо у Украины выработалось достаточно устойчивости и способности к сопротивлению. Вторая гипотеза основана на опубликованных отчетах государственных учреждений и частных компаний, таких как Microsoft, которые показывают, что с января 2022 года российские кибератаки стали более мощными и изощренными, но внимание к этой проблеме и вмешательство США и других международных специалистов по кибербезопасности помогли Украине нейтрализовать атаки и успешно контратаковать.

Примеры кибератак

В январе хакерская группа, связанная с белорусской разведкой, осуществила кибератаку на официальные сайты украинского правительства при помощи вредоносной программы похожей на ту, что использовала группа, связанная с разведкой РФ. Эта атака, известная как WhisperGate, в точности повторяла российскую кибератаку 2017 года под названием NotPetya, которая стерла данные на жестких дисках тысяч украинских компьютерных систем.

По заявлениям официальных лиц США и Великобритании, за серией распределенных атак типа «отказ в обслуживании» (DDoS), которые в начале февраля на короткое время вывели из строя украинские правительственные и банковские сайты, стояли российские военные хакеры.

В начале вторжения основной целью российских кибератак было парализовать информационные системы Украины, что облегчило бы достижение военных целей на других направлениях военных действий. Вторжению России предшествовала массированная кибератака на сайты украинского правительства, проведенная в январе 2022 года. Если верить информационным сообщениям, российские кибергруппы воспользовались для взлома известными им изъянами в защите приложения портала государственных услуг Украины «Дiя», чтобы получить доступ к данным о 2,6 млн частных лиц, предприятий и юридических фирм, а также правительственных учреждений.

Официальные представители США заявляют, что российская сторона использует кибернетические атаки: «Мы видим, что для достижения своих бесчеловечных целей в Украине, русские применяют комплексный подход к использованию физических и кибератак», — говорит высокопоставленный представитель Белого дома по вопросам кибербезопасности. Компания Microsoft также сообщала о том, как российские группы хакеров, терроризирующие киберпространство, направили свои усилия на поддержку стратегических и тактических целей вооруженных сил РФ. Как отмечает компания Microsoft, сравнительный анализ хронологии военных ударов и кибервторжений выявляет несколько примеров синхронности: атаки хакеров в компьютерных сетях и военные операции, похоже, работают в тандеме и направлены против единого перечня целей, хотя неясно, существует ли общая координация, централизованное распределение задач или просто общий набор понятных приоритетов, управляющих этой взаимосвязью. В отчете говорится, что кибероперации, проведенные Россией с начала полномасштабного военного вторжения в Украину, ставили целью «вывести из строя, нарушить работу или дискредитировать повседневное функционирование украинского правительства, закрепиться на опорных точках в критически важных объектах инфраструктуры и ограничить доступ украинской общественности к информации». Из отчета Microsaft также следует, что кибероперации и кинетические военные действия, по всей видимости, преследовали схожие военные цели. Государственная служба специальной связи и защиты информации Украины заявила, что российские хакеры действуют синхронно с российскими военными.

В период с 23 февраля по 8 апреля в результате около 40 разрушительных атак были навсегда уничтожены файлы в десятках украинских организаций. До конца апреля 2022 года мишенями более 40% атак стали «организации в критических секторах инфраструктуры Украины, и эти атаки могут иметь косвенные негативные последствия для функционирования правительства, армии, экономики и благополучия населения страны». Еще 32% кибератак затронули «украинские правительственные организации на национальном, региональном и городском уровнях». Составители доклада Microsoft также отмечают, что «с каждой волной развертывания военной операции, российские хакеры немного модифицируют вредоносные программы, чтобы избежать обнаружения».

Цели российских кибератак расположены не только в Украине. По состоянию на конец июня 2022 года Центр разведки угроз Microsoft (MSTIC) зафиксировал российские сетевые вторжения в отношении 128 целей в 42 странах за пределами Украины. По данным MSTIC, речь идет о ряде стратегических целей шпионажа, среди которых, вероятно, были объекты, связанные с прямой или косвенной поддержкой обороны Украины (в 49% случаев — госучреждения). Еще 12% организаций, ставших жертвами российских хакерских вторжений в этот период, составляют НКО — чаще всего это либо аналитические центры, консультирующие по вопросам внешней политики, либо гуманитарные группы, занимающиеся оказанием помощи гражданскому населению Украины или поддержкой беженцев. Эти цели разбросаны по всему миру, однако в 63% случаев наблюдаемая активность была связана со странами-членами НАТО. Больше всего от российских операций кибершпионажа пострадали США: 12% всех атак против целей, расположенных за пределами Украины, пришлись на объекты, находящиеся в США. При этом все эти кибероперации не назовешь крупномасштабными, если сравнивать их с предыдущими хакерскими атаками на украинскую инфраструктуру, включая описанные выше попытки вывести из строя украинскую энергосистему в 2010-е гг.

Одной из самых ярких иллюстраций деятельности российских хакеров в ходе войны с Украиной стала кибератака на американского поставщика спутниковой связи Viasat, предпринятая Россией в первый день вторжения в Украину и вызвавшая перебои в работе спутниковой связи по всей Центральной и Восточной Европе. Хотя основной целью атаки, как считается, были ВСУ, которые пользуются спутниковой связью, из-за кибератаки 24 февраля 2022 пострадало качество интернет-связи у нескольких тысяч клиентов Viasat в Украине и у десятков тысяч клиентов компании по всей Европе. Атака также нарушила работу 5 800 ветряных турбин в Германии, поскольку для их удаленного мониторинга и управления используются маршрутизаторы Viasat.

Имеет ли значение качество украинской защиты от кибератак?

Украина — одна из бывших советских республик с довольно сильным национальным киберсообществом. Печальную известность завоевало и украинское хакерское сообщество: в 2015 году страна вошла в десятку стран-лидеров в области киберпреступности и заняла 15 место как источник DDoS-атак.

Украина располагает ограниченными возможностями для противодействия кибератакам, но после начала российского вторжения в 2022 году она попыталась укрепить свою киберзащиту, привлекая иностранную помощь. Правительство пригласило международных добровольцев для формирования настоящей IT-армии, а IT-команда, созданная министром цифровой трансформации, провела несколько DDoS- и вайпер-атак (стирающих данные на пораженных устройствах — примечание переводчицы).

По мнению Кеннета Гирса, в этой кибервойне оборона, похоже, играет более значимую роль, чем нападение. Гирс считает, что украинская киберзащита за прошедшие годы стала более зрелой и профессиональной и, возможно, поэтому российским хакерам сложнее причинить Украине значительный ущерб. Россия, напротив, известна своими наступательными операциями, но мало заботится о киберзащите. «Российские компьютерные системы часто используют старое программное обеспечение с не устраненными неполадками и поэтому они очень уязвимы для атак вредоносных программ», — отмечает Гирс.

Существенную поддержку Украине оказывают западные государства и иностранные хакеры. Так, в марте произошла широкомасштабная атака в киберпространстве: российские компании и государственные органы были наводнены целыми полчищами проукраинских хакеров, многие из которых для экспертов по кибербезопасности были новыми и ранее неизвестными игроками. Результатом атаки стала утечка сотен миллионов документов из таких разных организаций, атакованных хакерами, как «Транснефть», Министерство культуры России, одно из ведущих предприятий белорусской энергетической отрасли «Электроцентрмонтаж» и те структуры РПЦ, которые поддержали войну в Украине.

В апреле заместитель председателя Госпецсвязи Украины Виктор Жора, словацкая фирма по кибербезопасности ESET и Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT) заявили, что элитная российская хакерская группа, известная как Sandworm, которая уже атаковала энергосистему Украины в 2015 году, попыталась вызвать очередное отключение электричества в стране. Хакеры, которые предположительно состоят на службе в российской военной разведке, разработали вредоносное программное обеспечение под названием Industroyer 2, способное вмешиваться в систему управления работой оборудования на высоковольтных электрических подстанциях для управления потоками электроэнергии. Было объявлено, что российские кибератаки были успешно отбиты. Официальные представители Украины рассказали о том, насколько продвинутой и изощренной была атака и какой огромный ущерб она могла нанести в случае успеха: атака угрожала отрезать от снабжения электричеством два миллиона человек. Однако не было обнародовано никакой информации о том, насколько сложные и высокотехнологичные инструменты применила российская сторона, и что именно сделала Украина, чтобы отбить эту атаку.

Проблемные аспекты российского киберпотенциала

Согласно некоторым источникам, в современной России группы кибервойск действуют под эгидой четырех российских спецслужб: российской военной разведки (ГРУ), Федеральной службы безопасности (ФСБ), Службы внешней разведки (СВР) и Федеральной службы охраны (ФСО). В феврале 2017 года министр обороны РФ Сергей Шойгу объявил о создании Войск информационных операций (ВИО) при Министерстве обороны. На самом деле, возможно, что подобная группа начала действовать еще до российского вторжения в Украину в 2014 году. Однако, если судить по заявлениям российских официальных лиц, Войска информационных операций, впервые публично упомянутые в 2014 году, стремятся интегрировать и синтезировать все эти виды деятельности. Москва также может использовать в своих кибервойнах несколько частных киберкомпаний.

Главный вопрос относительно кибератак, развернутых Россией против Украины в ходе текущего этапа военного противостояния, заключается в том, использовала ли Россия самые передовые и высокотехнологичные возможности кибервойны, и были ли у нее на вооружении эти самые передовые кибертехнологии. Согласно последним сообщениям, вредоносное программное обеспечение — «малварь», malware, — использованное для атаки на украинский энергетический сектор в апреле, было очень изощренным, но эту атаку перехватили и нейтрализовали до того, как программа была развернута. Все это, возможно, говорит о том, что в России еще остались талантливые хакеры с глубоким знанием промышленных систем управления, но проблемы с операционной безопасностью российского правительства подрывают развернутые им кибероперации. Джозефина Вольф видит в этом свидетельство того, что в настоящее время самая сильная сторона российских кибервозможностей состоит в написании вредоносных программ. Когда же речь идет о выявлении уязвимых сторон и использовании ресурсов, необходимых для распространения «малвари», чтобы вредоносное ПО могло заразить ставшие мишенью системы, российские хакеры далеко не так могущественны.

Заключение

Конечно, не существует простого ответа на вопрос о том, объясняются ли неудачи российских кибератак относительным несовершенством российского вредоносного ПО или отличной работой украинской киберзащиты. Вероятно, дело в определенной комбинации этих двух факторов.

Чтобы определить степень эффективности украинской киберзащиты против российских кибератак, потребуется больше информации. Существует несколько показателей кибербезопасности для измерения устойчивости и безопасности компьютерных сетей, которые не требуют разглашения конфиденциальной информации в военное время. Но даже в этом случае всегда непросто оценить степень успешности и недостатки киберопераций. Ясно только то, что «кибервойска» России, как и ее регулярная армия, пока не провели ни одной безусловно успешной операции в войне против Украины. В этом отношении подготовка украинских кибервозможностей перед вторжением и поддержка Запада сыграли существенную роль в обеспечении киберзащиты Украины в ходе военной агрессии России в 2022 году.

Самое читаемое
  • Оборотень без погон
  • Российская нефть после эмбарго
  • Российская армия в 2023 году
  • Прошедший 2022 год стал катастрофой для России не только в Украине, но и на Кавказе
  • Российские спецслужбы спасают Мадуро
  • Регионы и центр: что НЕ изменила война

Независимой аналитике выживать в современных условиях все сложнее. Для нас принципиально важно, чтобы все наши тексты оставались в свободном доступе, поэтому подписка как бизнес-модель — не наш вариант. Мы не берем деньги, которые скомпрометировали бы независимость нашей редакционной политики, а рынок «безопасных» грантов при этом все время сужается (привет, российское законодательство). В этих условиях мы вынуждены просить помощи у наших читателей. Ваша поддержка позволит нам продолжать делать то, во что мы верим.

Ещё по теме
2022: лихорадочный год для Чечни

Гарольд Чемберс о том, как война в Украине изменила ландшафт чеченской политики

Российская армия в 2023 году

Павел Лузин о том, сможет ли российская армия увеличить свою численность до 1,5 миллионов

Десять месяцев войны: итоги

Майкл Кофман о текущем положении дел на фронтах, ближайших перспективах продолжения украинского наступления и военном потенциале российской армии

Поиск