Увечері 15 лютого Україна вчергове за останні місяці стала об’єктом атаки хакерів: вона вплинула на роботу найбільших банків країни та сайтів державних структур, у тому числі Міністерства оборони. Деякі спостерігачі розцінили цю атаку як можливу прелюдію до російського вторгнення в Україну. Чи це так насправді? З’ясовувала Російська служба Радіо Свобода.
За останні місяці Україна не вперше зазнає кібератак: найбільша з них до 15 лютого була зафіксована ще 14–15 січня. В «Українському кіберальянсі» заявляють, що зловмисникам вдалося не лише зламати сайти міністерств та застосунок «Дiя», а й викрасти персональні дані мільйонів людей із бази МВС країни. Однак в СБУ повідомили, що витоку даних внаслідок кібернападу не відбулося. Втім, деякі електронні сервіси, наприклад, сервіс перевірки полісу страхування цивільної відповідальності автовласників, не працювали після цієї атаки ще кілька тижнів.
Як розповів у середу журналістам міністр цифрової трансформації України Михайло Федоров (його відомство – одне з наймолодших у країні – було створене восени 2019 року), кібератака 15 лютого стала «найбільшою DDoS-атакою в історії України», організація якої коштувала щонайменше мільйон доларів. Чиновник стверджує, що її метою було посіяти серед українців паніку, але хакерам не вдалося досягти своєї мети. Українські офіційні особи поки не звинувачують Росію в тому, що сталося прямим текстом, але, за словами керівника департаменту кібербезпеки СБУ Іллі Вітюка, «такі атаки завжди проводять держави, які створюють під них спеціальну інфраструктуру», а «єдиною країною, яка зацікавлена в таких ударах [по Україні], є Російська Федерація».
Графік, на якому видно збої в мережі «Приватбанку», на роботу якого вплинула атака ввечері 15 лютого:
Насправді DDoS-атаки, коли на атаковані сервери миттєво обрушується величезна кількість запитів, що виводять їх з ладу, – один з найбільш простіших і недорогих інструментів в арсеналі кіберзлочинців. Атаки 15 січня чи 16 лютого не зрівняються за своїми наслідками з подіями 2017 року – тоді вірус-вимагач Petya.A фактично паралізував IT-структуру десятків українських компаній та державних відомств, зокрема й стратегічно важливих – наприклад, систему документообігу Чорнобильської АЕС. Влада України звинувачувала у поширенні вірусу російську владу, втім, Petya.A також завдала шкоди й іншим країнам – в тому числі самій Росії.
Побоювання, що масовані кібератаки, покликані порушити роботу цивільної та військової інфраструктури країни, можуть бути провісником війни – небезпідставні. Подібну тактику Росія вже застосовувала в Грузії, напередодні воєнного конфлікту 2008 року, коли сайт президента Грузії Міхеїла Саакашвілі був зламаний ще 22 липня, за кілька тижнів до початку активних військових дій.
Один із засновників волонтерської групи «Український кіберальянс» Андрій Баранович сумнівається в оцінках українських чиновників і називає суму мільйон доларів, нібито витрачену на організацію атаки 15 лютого, «дурістю». Водночас в інтерв'ю Радіо Свобода Баранович припускає, що ця атака могла бути лише прикриттям для викрадення нових чутливих даних із комп'ютерних систем. За його словами, сліди хакерів дійсно ведуть до Росії – але масштаб того, що відбувається, поки не дозволяє говорити про те, що йдеться про провісника швидкого російського вторгнення.
– Чи варто взагалі розглядати хакерську атаку на українські банки і сайти в контексті можливого російського вторгнення?
Це цілком можна назвати військовою диверсією, спрямованою на IT-інфраструктуру
– Я думаю, це правильно. Можливо, це не початок атаки, але це цілком можна назвати військовою диверсією, спрямованою на IT-інфраструктуру. Все почалося набагато раніше, рівно місяць тому, коли 14 січня відбулися дефейси державних сайтів («дефейс» – тип хакерської атаки, в результаті якої одна або кілька сторінок сайту, як правило, головна сторінка, замінюється на іншу – ред.). Згодом з'ясувалося, що це були не тільки змінені картинки на вебсайтах, а була вкрадена величезна кількість дуже чутливої інформації з державного застосунку «Дiя», з Міністерства внутрішніх справ, з Міністерства регіонального розвитку і, можливо, ще з яких відомств. Тоді уряд зайняв дуже дивну позицію: вони просто перейшли до заперечення, що нічого не сталося, хоча зразки цих даних лежать в інтернеті, і будь-яка людина може їх скачати та переконатися, що вони свіжі, правдиві та справжні. Тобто, це була дуже тривала операція, коли нападники дуже довго сиділи в цих системах, і коли вони отримали все, що хотіли, то спробували влаштувати таку провокацію – видати це за дії якихось польських націоналістів.
Так само зараз, перед тим, як почалася DDoS-атака, було масове розсилання СМС з польських номерів про те, що 15 числа не працюватимуть банкомати найбільшого державного банку «Приват». Продовження ось цієї «псевдопольської» теми показує, що, по суті, це одна і та ж атака, і якби DDoS-атака була успішною і банки дійсно «лягли», то разом з цими СМС вона, в принципі, могла б спричинити паніку. З іншого боку, я думаю, що атакуючі – а це вигідно насамперед Російській Федерації – не врахували того, що в нас люди починають переживати та бігти до банкомату не тоді, коли приходить СМС із Польщі, а коли уряд каже, що все в порядку.
– Що насправді 15 лютого відбувалося, яким був обсяг цієї атаки? Що не працювало, як довго не працювало?
Побоююся, що DDoS-атака була використана тільки для відволікання уваги, поки всі обговорюють DDoS, могло відбуватися щось іще
– Поки що важко оцінити. Представник компанії Hostmaster, яка обслуговує доменну зону gov.ua, ще 15 лютого написав, що на сервери доменних імен, які обслуговують державні домени, надійшло близько 60 гігабіт трафіку, і вони впоралися з ним. Це не дуже багато. Ближче до вечора перестали працювати сайти Міністерства оборони, Кабінету міністрів, на якийсь час «падав» сайт президента, були перебої із сайтами банків. Але цієї атаки виявилося недостатньо, щоб повалити все повністю, все-таки Україна – це не Казахстан і не Білорусь, тут дуже складно «вимкнути» якийсь інтернет-сервіс цілком, не кажучи вже про те, що мало хто насправді ходить на державні сайти, і всі вони мають сторінки у соціальних мережах, де вони розповідали про те, що сайти тимчасово не працюють. Сама по собі DDoS-атака – це не більше за пустощі. Я побоююся, що DDoS-атака була використана тільки для відволікання уваги, і поки всі обговорюють DDoS, могло відбуватися щось іще.
– Ви сказали про атаку 14 січня. Розкажіть докладніше, що це за сервіс «Дія» і чим небезпечний витік даних, які врешті-решт опинились у мережі, як ви кажете?
– «Дiя» – це державна програма. У Росії є аналогічне, «Держпослуги». Задум нашого Міністерства цифрової трансформації був у тому, щоб об'єднати всі послуги на одному державному порталі та в одному застосунку для телефону. Їх неодноразово попереджали про те, що подібна архітектура має істотні недоліки і в разі атаки цей портал і ця програма стануть єдиною точкою відмови. Оскільки державний портал має доступ до багатьох реєстрів, там накопичується велика кількість інформації про громадян: адреси, телефони, імейли. Ось цих даних і стався витік (українська влада це заперечує – ред.). Псевдохакер із ніком FreeCivilian намагається зараз зображати, що це була кримінальна атака, робить вигляд, що ці дані продаються, але я повністю впевнений, що жодні «кримінальні» хакери до цього стосунку не мають, це була, швидше за все, Російська Федерація, можливо, Білорусь, або ті й інші разом (СБУ заявила, що розслідує «причетність російських спецслужб» до подій, у РНБО припустили, що до кібератак можуть бути причетні і спецслужби Білорусі – ред.). Є багато слідів як технічних, так і нетехнічних, які вказують на диверсію з боку Росії. Слідом за дефейсами сайтів, за витоками була ще й спроба знищити частину систем, і це їм навіть частково вдалося – в кількох міністерствах частина систем не працювала тиждень чи два, але потім все вдалося відновити.
«Збиток колосальний»
– Які сліди, технічні та нетехнічні, як ви кажете, вказують на Росію?
«Українському кіберальянсу» і представникам українських спецслужб надходив анонімний лист – запрошення разом атакувати Росію, «показати, на що здатна Україна»
– Наприклад, незадовго до дефейсів, на самому початку січня, і нам, «Українському кіберальянсу», і представникам українських спецслужб надходив анонімний лист – запрошення разом атакувати Росію, «показати, на що здатна Україна». Персонаж, який зробив цю пропозицію, пов'язаний із хвилею «мінувань», які відбувалися в Росії близько двох років тому. Тоді цю хвилю пов'язували з криптовалютною біржею BTC-E/WEX, із Костянтином Малафєєвим. І там використовувалося певне шкідливе ПЗ – як показує технічний аналіз, практично ідентичне тому, яке використовувалося 15 січня. Про це є звіт CERT-UA, української команди швидкого реагування на надзвичайні події (функціонує у складі Державного центру кіберзахисту Державної служби спеціального зв'язку та захисту інформації України – ред.), і є незалежний звіт підрозділу Talos компанії Cisco, що підтверджує ці висновки. підрозділ займається дослідженням загроз у галузі комп'ютерної безпеки (Прим. РС). Не кажучи вже про те, що вивішувати провокаційні повідомлення ламаною польською мовою… Мені здається, це все-таки були не поляки.
– У мережі навіть опинилася онлайн-база полісів обов’язкового страхування автовласників (українські органи влади заперечують – ред.). Наскільки багато людей ця база охоплює? Тобто ті люди, котрі отримали її, мають тепер докладні особисті дані мільйонів українців?
– На жаль, так. Це навіть не просто система страхування, яка в Україні має назву МТСБУ. Наскільки я розумію із опублікованих витоків, атакуючі отримали повний доступ до системи «Електронний кабінет водія». Це система МВС, а звідти вже був прямий доступ до внутрішніх баз даних МВС, де міститься велика кількість інформації. Так само, коли була атака білоруських кіберпартизанів на МВС Білорусі, саме з поліцейських баз вони отримали величезну кількість інформації, наприклад, про службові автомобілі. У номерів прикриття в такій базі стоятимуть спеціальні позначки, таким чином можна знайти співробітників спецслужб, розвідки, контррозвідки. Збиток Україні був завданий колосальний. Я здивований, що Міністерство цифрової трансформації намагається заперечувати цю шкоду, бо це безглуздо. Визнаємо ми цю атаку атакою або не визнаємо, шкода вже завдана, і треба думати про те, як боротися з наслідками цих витоків, а не далі заривати голову в пісок.
– Найбільшою хакерською атакою в історії України, наскільки я розумію, залишається атака 2017 року на державні установи та об’єкти інфраструктури за допомогою вірусу Petya.A. Чи було зроблено в Україні щось із того часу для захисту від подібних атак? Ви говорите про те, що треба думати, як ліквідувати наслідки, а як, власне, їх ліквідувати?
Скоординованої спільної політики, як зробити Україну стійкішою до кібератак, на жаль, як і раніше, немає
– Певна робота таки була проведена. Я дивлюся, як зараз реагує кіберцентр при Раді безпеки та оборони, як реагує Служба спеціального зв'язку, читаю їхні звіти та публічні заяви. Коли атака вже відбувається, то вони реагують досить швидко і професійно. Але загалом як система, як якась інституційна діяльність, кібербезпека в Україні, як і раніше, відсутня. Є, звичайно, кіберстратегія України, є навіть план її реалізації, але це наполовину випадковий набір різних дій, іноді корисних, іноді марних, і в цілому скоординованої спільної політики, як зробити Україну стійкішою до кібератак, на жаль, як і раніше, немає.
– Що можна було б зробити для цього?
Вихід тут один – це приватно-державне партнерство
– Насамперед будь-яку систему потрібно обслуговувати. Не можна просто купити її на сайті публічних закупівель, ввімкнути і вдавати, що все працює. На відміну від побутових приладів, за складними ІТ-системами потрібен постійний нагляд, їх потрібно оновлювати, модернізувати. Виходить, що зараз частина українських IT-систем ніби нічия, ніхто за них не відповідає. Тобто, вони працюють, а коли щось ламається, відповідальних знайти неможливо. Я вважаю, що вихід тут один – це приватно-державне партнерство, коли великі приватні компанії підтримуватимуть для держави ці системи. Бажано, щоб це була не така компанія, щоб її не можна було повалити, як учора (15 лютого – ред.) це сталося, а щоб їх було кілька, щоб була помірна централізація. І, звичайно, найперше питання – це питання про відповідальність. Тобто, якщо щось відбувається, має вийти цілком конкретна людина, яка скаже: «Я знаю, що сталося, і я знаю, що зробити, щоби все полагодити».
«Російська інфраструктура захищена краще, ніж українська»
– Які вразливі місця зазвичай використовують хакери під час атак на Україну? І чи можна порівняти методи хакерів, які діють проти України зараз, із методами, які використовувалися, наприклад, нібито російськими хакерами під час атак на інші країни Заходу, зокрема США?
– Методи завжди схожі. Часто використовується фішинг – підроблені листи від імені великих сервісів, це шкідливе програмне забезпечення, яке розповсюджується разом із документами у файлах формату PDF та DOC. Завжди залишаються якісь сліди, і можна об'єднати різні атаки за технічними слідами, що залишилися, щоб з упевненістю говорити: так, це одні й ті ж атакуючі, а потім уже намагатися визначити їхню національну приналежність.
– Чи передбачена в українській стратегії боротьби з кіберзагрозами якась відповідь на такі атаки, симетрична чи несиметрична? Джо Байден у вівторок у своєму відеозверненні сказав, що США готові дати «рішучу відповідь», якщо Росія атакує їх чи їхніх союзників за допомогою кібератак. Наскільки реальною є ця його загроза? Російська інфраструктура взагалі захищена від кібератак краще, ніж американська чи українська, чи ні?
– Я думаю, що російська інфраструктура захищена трохи краще, ніж українська, за рахунок кращої дисципліни та тиску з боку Федеральної служби безпеки. Але вона захищена не так добре, як їм здається. Навіть нашій невеликій групі волонтерів, коли ми займалися активною «наступальною діяльністю», було досить легко зламувати важливі і іноді навіть критичні системи в Росії. Зараз в Україні вже близько року президент Зеленський говорить про створення кібервійськ, вони навіть передбачені і в кіберстратегії, і в плані її реалізації, але я сумніваюся в організаційних здібностях президента та його команди і не думаю, що ці заявлені кібервійська будуть готові хоч до оборонних, хоч до наступальних операцій найближчим часом.
– Усі ми читаємо про допомогу країн Заходу Україні озброєннями. Чи може Захід допомогти Україні у сфері забезпечення кібербезпеки?
– Так, без сумніву. Тут є й спільні проєкти, йде фінансування різними каналами. Кілька років тому USAID відкрив великий проєкт, у ньому було передбачено близько 40 мільйонів доларів лише від цього фонду. На жаль, між кібербезпекою та західними донорами ми ще маємо Міністерство цифрової трансформації з абсолютно фантастичними уявленнями про реальний світ. Міністр Федоров якось сказав, що роль кібербезпеки дещо «перебільшена», що він звільнив усіх співробітників, а все, як і раніше, працює. Якщо цю допомогу отримує Міністерство цифрової трансформації, то я дуже сумніваюся в тому, що вона може бути витрачена якось ефективним способом. Не кажучи вже про те, що той же USAID до України не мав проєктів, пов'язаних з кібербезпекою. Проте я дуже радий тому, що країни Заходу допомагають Україні, знадобиться будь-яка допомога. Посилюється взаємодія спеціальних служб із приватними компаніями. Коли 14 січня було знайдено шкідливе ПЗ, яким збиралися знищити частину систем, аналізом займалася компанія «Майкрософт», і вони оприлюднили свій звіт буквально через день. Це цінно, це дає розуміння, як відбулася атака і чого очікувати надалі.
– Я хотів би повернутися до атаки 15 лютого. DDoS-атака, як ви самі її назвали, – це «пустощі». Якщо припустити, що Росія вирішила вторгатися в Україну, якого типу атаки варто очікувати напередодні цього вторгнення? Такої ж, як 15 лютого, чи чогось серйознішого?
Україна – це не Білорусь і не Казахстан, і вимкнути інтернет дуже важко
– Якщо це буде така атака, як 15 лютого, то цього зовсім замало. Як я вже казав, Україна – це не Білорусь і не Казахстан, і вимкнути інтернет дуже важко. Тож без інтернету, я думаю, не залишимося. Можуть бути такі атаки. Можуть бути, як вони вже демонстрували у 2015 та 2016 роках, атаки на енергосистему та іншу критичну інфраструктуру, і це, звичайно, теж небезпечно, вона недостатньо захищена. Але я все-таки сподіваюся на те, що, як і у випадку з атаками 2015 року, навіть якщо вимкнеться автоматика, через деякий час, кілька годин, систему вдасться перезавантажити в ручному режимі, а потім повернути автоматику на місце.
– А засоби зв'язку? Наскільки значний ризик, що напередодні можливого вторгнення Росія зможе просто відключити Україну від зв'язку?
– Я не думаю, що це можливо...
Попри заяви російського Міноборони про те, що частина військ після навчань повертаються на свої бази, США і НАТО заявили, що не бачать відведення російських військ від кордону з Україною, і що загроза нападу зберігається.
Президент України Володимир Зеленський під час перебування в Маріуполі наголосив, що Київ бачить лише невелику ротацію російських військовослужбовців, але відведення підрозділів не фіксується.
