Росію вважали головною силою кіберпростору — тепер над нею знущаються найкращі хакери світу

8 травня, 20:32
Ексклюзив НВ
Війна в Україні розвіяла міф про непереможних російських хакерів (Фото:НВ)

Війна в Україні розвіяла міф про непереможних російських хакерів (Фото:НВ)

Російські хакери заробили собі славу чи не найсильнішої сили у кіберпросторі. Війна в Україні показала, що їхні можливості були завищеними.

Більшість експертів була впевнена — сучасна повномасштабна війна неможлива без хакерів. Залежність людства від технологій стала настільки очевидною, що й ймовірні спроби вивести ці технології з ладу під час бойових дій стали чимось, що само собою зрозуміло.

Відео дня

У контексті ймовірного нападу Кремля аналітики припускали, що наступ наземних військ супроводжуватиметься атаками хакерів проти об'єктів критичної інфраструктури, які ще більше налякають людей і дестабілізують ситуацію. У Росії є велика кількість угруповань хакерів, які нібито не пов’язані з урядом, проте часто діють в інтересах режиму; крім того, хакери входять до складу збройних сил і розвідувальних служб Росії.

НВ розібрався, наскільки ефективними були атаки російських хакерів, як хакерська спільнота підтримала Україну і чи стали спецоперації в онлайні тією самою зброєю майбутнього.

Російські хакери проти України

Росіяни вже мають багатий досвід кібератак проти України: у 2021 році Україна посіла друге місце за кількістю кібератак, які проводилися проти конкретної країни. У лютому сталося щось на кшталт генеральної репетиції, коли [імовірно] російським хакерам вдалося ненадовго покласти деякі українські урядові, військові та банківські сайти.

З початку війни російські хакери справді активно підтримували (і продовжують підтримувати) наземний наступ. І якби не війна, то, наприклад, новина про злам супутникового провайдера Viasat, точно була б серед тих, що обговорювалися в ті дні. Як мінімум тому, що це найбільша кібератака нашого часу: тисячі супутникових модемів в Україні та за кордоном вийшли з ладу, залишивши мільйони людей без зв’язку.

Заступник голови Держспецзв’язку Віктор Жора розповів, що «це була справді величезна втрата зв’язку на самому початку війни», а від атаки постраждали не тільки звичайні користувачі — Viasat надавав послуги військовим та об'єктам критичної інфраструктури. Саме тому російські хакери і вибрали компанію своєї атаки.

«У звичайний час це була б одна з найгучніших історій у галузі інформаційної безпеки за цілий рік, якщо не більше. Проте жорстока війна, що не припиняється, змінює психологічне середовище для кібератак, витісняючи їх з циклу новин», — зазначає Томас Рід, професор стратегічних досліджень Університету Джонса Гопкінса.

За два місяці війни щонайменше шість груп російських хакерів провели понад 430 кібератак. Багато хто з них збігався за часом із ракетними атаками та наземними наступами на певні об'єкти. Проте 2 травня Держспецзв’язку заявило, що російські кібератаки проти України досягли максимуму. Росіянам так і не вдалося провести широкомасштабну атаку, яка справді завдала б істотної шкоди українській економіці, армії чи населенню.

Держспецзв'язку
Фото: Держспецзв'язку

Але розслаблятись рано. «Незважаючи на те, що атаки [російських хакерів] переважно не завдають значної шкоди нашій інформаційній інфраструктурі, їхня кількість постійно зростає», — зазначають у Держспецзв’язку.

Сукупність всіх цих факторів відкрила світові відразу два важливі моменти:

  • Хакери — далеко не та зброя майбутнього, про яку ми стільки чули. Їхні дії можуть нести загрозу, проте під час війни ракетні удари та обстріли очевидно сприймаються серйозніше;
  • Сила російських хакерів було завищено. Російські хакери, які стали чимось на зразок бренду на Заході, виявилися нездатними протистояти Україні та її союзникам. Найкраще це пояснив Стефані Де Бласі, аналітик кіберзагроз у компанії Digital Shadows: «Досі Росія була однією з тих країн, від яких виходить кіберзагроза, а не які стають їхніми жертвами».

Просто зараз вогонь перекинувся вже «за поребрик» — від кібератак страждають саме російські компанії. Хакерські угруповання у всьому світі виступили на підтримку України, завдяки чому в інтернет витекли мільйони внутрішніх документів держкомпаній РФ, серед яких Роскомнагляд, Центробанк РФ, Газпром та інші стовпи російського режиму.

Головною жертвою першої історії світової кібервійни став міф про російську кіберперевагу. Це далеко не перша містифікація, яку розвінчала війна в Україні — ще три місяці тому російська машина пропаганди також вважалася чи не найсильнішою у світі, як розповіді про «другу армію світу». Тепер це не так.

Однак у Держспецзв’язку попереджають, що не варто недооцінювати ворога: «Досі Україні вдавалося успішно протистояти кібератакам із Росії. Завдяки санкціям ворог уже зіткнувся з певними обмеженнями ресурсів — матеріальними та технологічними, і йому дедалі складніше буде готувати і проводити нові атаки. Однак потрібно постійно бути готовим до них, адже, незважаючи на обмежені ресурси, російські військові хакери ще досі мають високу мотивацію атакувати».

IT-армія

З початку війни на чолі кіберфронту став проект IT-армії від Міністерства цифрової трансформації — спільнота добровольців, які досі організовують постійні DDoS-атаки проти російських ресурсів, координуючи їх за допомогою Telegram-каналу, в якому майже 300 тис. користувачів. Це публічна частина роботи міністерства, до якої може приєднатися кожен охочий, навіть без спеціальних навичок.

На початку війни саме DDoS-атаки були основною зброєю через свою простоту. Їх використовувала як Україна, так і Росія — подібної атаки зазнава навіть сайт НВ. Експерти зазначають, що атаки на російські сервери були потужнішими — найдовша з них розтяглася на 177 годин.

ІТ-армія поклала сотні різних російських сайтів — серед них ресурси держорганів і держструктур, сайти пропагандистських ЗМІ, популярні банківські сервіси і, звичайно ж, держкомпанії. Через постійні DDoS-атаки на сервіс 1С, в РФ скасували штрафи за несвоєчасне подання звітів. Також у Росії вирішили скасувати маркування та перевірку наявності маркування на деяких товарах через атаку на національну систему Чесний знак.

Проте DDoS насправді не вплине на війну навіть у кіберпросторі. Рано чи пізно сервери відновлюються, захист поліпшується, а атаки стають менш ефективними.

Туман кібервійни

Набагато цікавішою, напевно, виявиться непублічна частина роботи Мінцифри — з метою безпеки розповісти про подробиці цих кібератак там пообіцяли вже після війни. У коментарях для НВ міністр цифрової трансформації Михайло Федоров підтвердив інформацію, що Україні допомагають «дуже велика кількість компаній у сфері кібербезпеки»: вони працюють за «непублічними цілями, яких більшість».

Це комплексні атаки, мета яких не просто отримати доступ до сайту або бази даних, але й поширити правду про те, що відбувається. Ми вже зламали понад 80 баз даних, які є критичними для РФ. Це бази даних громадян, бізнесу, досить сенситивні дані. Також цифрова блокада зробила, наприклад, так, що сьогодні Вконтакте не можуть навіть купити собі сервери. Їхня сфера кібербезпеки дуже постраждала через санкції", — каже міністр.

Одне з найсильніших російських хакерських угруповань Trickbot, яке вже давно підозрюють у зв’язках із ФСБ, наприкінці лютого заявило, що підтримає Росію у війні проти України. Вважається, що саме це угруповання стоїть за DDoS-атаками на українські сайти до початку війни.

Через кілька днів після початку війни анонімний користувач з України опублікував внутрішні чати, а потім і вихідний код програми-здирника Conti, який став справжнім головним болем для експертів з кібербезпеки через часте та досить ефективне його використання. Таким чином він практично зруйнував одне з найнебезпечніших російських хакерських угруповань, члени якого тепер змушені турбуватися виключно за свою безпеку, приховуючи та знищуючи докази проти себе.

Угруповання Network Battalion 65' ( NB65) пішла далі — вона модифікувала код Conti, а потім використала його для зламу та блокування файлів усередині російських компаній. «Ми вирішили, що найкраще вдарити Росію її зброєю. Conti роками використовувалася проти шкіл, лікарень, університетів і компаній у всьому світі. Ми використовуватимемо цей код проти будь-якої російської компанії, на яку ми потрапимо. Це наш спосіб сказати російським хакерам — від*****ться!», — каже представник NB65 у коментарях НВ. Він висловив припущення, що код Conti злив український учасник угруповання Tricked, котрий вирішив помститися своїм колишнім товаришам за підтримку війни.

NB65 активно взялися за справу — наприклад, 2 квітня угруповання зламало найпопулярнішу електронну платіжну систему Росії — Qiwi: хакери отримали доступ до внутрішньої інформації та стерли 10,5 терабайт резервних копій компанії. Раніше їхніми жертвами також ставали ВДТРК, Роскосмос, російські банки та навіть приватні компанії. Цим угруповання відрізняється від більшості інших хакерів на кшталт спільноти Anonymous, яка постійно стверджує, що громадянське населення Росії не є для них ворогами, а відповідати за війну має виключно верхівка влади.

Хакери розповіли, що продовжать працювати за цілями з РФ, доки не припиниться війна. У них є друзі та навіть члени сімей, які «постраждали від воєнних злочинів Росії», а тому вони не планують зупинятися.

«Народна підтримка цієї війни серед цивільного населення Росії страшенно висока. Враховуючи характер більшості російських компаній та їхні стосунки з державою, ми вирішили, що жодна компанія не вважатиметься „закритою“ для нас. Якщо вони працюють, то сприяють кровопролиттю в Україні. Російські громадяни хочуть, щоб їх зламали? Напевно, ні. Але українські громадяни теж не хочуть, щоб крилаті ракети летіли до їхніх будинків», — пояснюють своє рішення хакери.

Члени NB65 також вважають, що сили російських хакерів явно переоцінили. Представник угруповання впевнений, що це сталося через активну роботу онлайн-вимагачів з Росії, які діяли у всьому світі. «Зараз стало очевидно, що вони далеко не титани кібербезпеки», — додають хакери. Особливим відкриттям для них стало те, що " Більшість росіян використовує зламані Windows з підробленими ключами активації".

Море даних

NB65, поряд з Anonymous і AgainstTheWest — ще одним прозахідним хакерським угрупованням — стали одними з головних постачальників зламаних архівів, що містять внутрішню інформацію російських компаній, які обробляє та централізовано викладає організація DDoSecrets. Сайт проекту став неофіційним центром для публікації терабайтів ретельно прихованої внутрішньої інформації російських держкомпаній.

Наприклад, рух Anonymous розмістив у публічному доступі близько 5,8 Тб даних із вітчизняних джерел. Наразі головна проблема вже не роздобути інформацію, а вивчити її.

За перші 10 років роботи організація WikiLeaks, що працювала за схожим принципом, опублікувала близько 10 мільйонів документів. Журналістка DDoSecrets Лоракс Хорн розповіла НВ, що стільки ж вдалося отримати за два з половиною місяці війни в Україні — і це без урахування вкладених в електронні листи файлів.

«Потік даних російських компаній дав нам безліч безсонних ночей, і це дійсно приголомшує», — розповідає співзасновниця DDoSecrets Емма Бест. Вона впевнена — журналістам і дослідникам знадобиться не один рік, щоб опрацювати всю інформацію, яка з’явилася у відкритому доступі останнім часом.

Проте здобиччю інформації хакери не обмежуються. Деякі діють ще грубіше: наприклад, у березні з’явилася нова програма-вимагач RU_Ransom, яка насправді є вайпером. Зразу після запуску програма перевіряє геолокацію користувача — якщо він перебуває в Росії, всі файли на комп’ютері блокуються, після чого програма їх стирає безслідно.

«Я, творець RU_Ransom, створив цю шкідливу програму, щоб нашкодити Росії… Немає жодного способу розшифрувати ваші файли. Жодної оплати, тільки збитки», — йдется в повідомленні, що відображається під час роботи програми. Якщо спробувати запустити програму не в Росії, вона покаже повідомлення «Програму може запустити тільки російський користувач, після чого автоматично закриється. Проте досі про масоване поширення цього ПЗ не повідомляли.

Деякі експерти припускають, що в Росії вже давно замислюються над створенням сплінтернету. Це щось подібне до інтернету, в якому існують відразу кілька розщеплених мереж, які не залежать один від одного. Кроки в цьому напрямку вже зробили Іран, Китай, Північна Корея, проте вони досі користуються тими ж технологіями, що й увесь світ, а тому говорити про повноцінну появу сплінтернету поки що зарано.

Нескінченні кібератаки, які підривають не лише обороноздатність Росії, а й авторитет «російських хакерів» можуть спровокувати уряд ще активніше просувати ідею сховатися у своєму коконі і відгородитися від решти не тільки реального, але навіть цифрового світу.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X