«Вітер із Холодного Яру»: як працює кібернетичний опір російській агресії

Прапор України зображений на екрані з програмним кодом.

(Рубрика «Точка зору»)
Георгій Грінченко

Напередодні війни один професійний IT-шник із сентиментом поета та літературознавця гортав сторінки «Шедеврів» Юрка Позаяка і знайшов там давно забуті рядки «Оптимістичної візії» від далекого 1986 року. Саме напередодні війни, яка вже «кружляла» у повітрі, ці рядки зазвучали як пророцтво та
водночас як імператив до дії:

«… Можна мене розрубати,

Кинути в бочку з лайном -

Я буду перемагати,

Мій опір в мільйони ом!

Опір - в мільйони ом!».

Опір у мільйони ом став тим феноменом, який продемонстрували українці як 24 лютого 2022 року, так і демонструють надалі – щодня протягом цієї жорстокої війни з Росією.

Згодом Антон Колумбет у своїх польових нотатках з передової під час запеклих боїв за селище Мощун у березні 2022 року (прорив біля Мощуна став ключовим для подальшої перемоги українських військових у передмістях Києва в трикутнику Ірпінь-Буча-Гостомель) назвав це «вітром з Холодного Яру»: «… Це
Козаччина. Це той самий вітер з Холодного Яру, в якого відсутній центр координації та постачання …».

Не лише самоорганізація українців, а й самоорганізація громадян інших країн для допомоги Україні нагадує мережеві структури Майдану

А Валерій Пекар в одному зі своїх есеїв згадав про це як двобій децентралізованих мережевих структур українського суспільства із ієрархічними вертикальними структурами у суспільстві ворога: «Український спротив примушує переглянути
уявлення про силу демократії проти диктатури, громадянського суспільства проти авторитарної держави, мережевих систем проти ієрархічно-централізованих. Не лише нинішня самоорганізація українців, а й самоорганізація громадян інших країн на нашу підтримку нагадала нам мережеві структури Майдану».

Кібермережі

Власне, зіткнення на невидимому кібернетичному фронті, що є такими ж
запеклими, як і на видимому мілітарному фронті, де ЗСУ та інші наші військові з’єднання протистоять окупантам фізично, також можна охарактеризувати тими самими епітетами:

  • «опір в мільйони ом»,
  • «вітер з Холодного Яру»,
  • перемога мережевих структур над ієрархічними.

Серед учасників кібернетичної сили, що стала на захист України після початку
повномасштабної війни з Росією 24 лютого 2022 року, в мережеву потугу об’єдналися наступні групи професіоналів та активістів:

  • Досвідчені міжнародні IT-професіонали в галузі кібербезпеки (як представники приватних компаній, так і представники відповідних підрозділів західних спецслужб та підрозділів кібернетичних військ на кшталт британської GIC – Government Information Cell).
  • Досвідчені вітчизняні-фахівці в галузі кібербезпеки.
  • Українські професіонали в інших галузях IT, що долучилися до кібернетичного фронту як волонтери.
  • Існуючі групи фахівців у галузях OSINT (наприклад, Informnapalm) та протидії ворожим дезінформаційним кампаніям (наприклад, StopFake), що сформувалися ще з самого початку агресії Росії у 2014-2015 роках р. та вже зарекомендували себе у боротьбі із ворогом.
  • Умотивовані кібер-активісти без спеціальних фахових знань в царині ІТ, що долучилися до кібернетичного фронту інформаційної війни (поширення правди про події в Україні, участь у пропагандистських кампаніях, розрахованих на населення країни-загарбника, контрпропаганда – боротьба із російськими фейками та дезінформаційними ресурсами в соціальних мережах та в цілому на просторах Інтернету).

Цей потужний кібер-фронт, що діяв децентралізовано, без наявності єдиного координаційного штабу, успішно боровся із кібернетичними силами загарбника в наступних царинах:

  • Кібернетичний захист критичної інфраструктури та мереж в Україні, а також відбиття хакерських атак супротивника.
  • Кібернетичні й хакерські атаки на мережеву інфраструктуру й центри даних організацій країни-загарбника.
  • Кібернетичний шпіонаж.
  • Інформаційні кампанії на користь України.
  • Протидія ворожим психологічним операціям та дезінформації.

Як працює кібернетичний захист?

Навіть тому, хто не має професійних знань у галузі IT та кібернетичної безпеки (cybersecurity), міг кинутися в очі разючий контраст між станом наших важливих інформаційних систем (передусім в державному секторі та на підприємствах, що забезпечують критичну інфраструктуру країни) напередодні широкомасштабного вторгнення росіян в січні – лютому 2022 року і після того, як перші
танки агресора рушили через кордони вранці 24 лютого.

Відчувалася розгубленість представників Міністерства цифрової трансформації та ІТ-підрозділів деяких великих державних установ та банків після масованої кібератаки російських хакерів 15 лютого 2022 року.

Однак, починаючи з моменту широкомасштабного вторгнення вранці 24 лютого 2022 року, ситуація докорінно змінилася.

Очевидно, що російські хакери не стали менш вправними чи менш зухвалими. Агенція США з кібербезпеки та безпеки критичної інфраструктури CISA вважала і продовжує вважати російських державних хакерів найбільшою кібернетичною небезпекою світового масштабу.

Російські кібервійська ГРУ ретельно готувалися для завдання нищівних ударів по найважливіших цифрових системах і мережах в перші хвилини й
години реального фізичного вторгнення російських армійських підрозділів до України.

Зокрема, була розроблена й підготована до поширення нова шкідлива програма-«стирач» (wiper malware) WhisperGate, що мала б паралізувати значну кількість систем і вузлів критичної інфраструктури України;

24-25 лютого проводилися масовані кібератаки на органи державної влади України. На піку цих атак атакуючий трафік становив десь 16 Гбіт\сек , а здебільшого вектор атаки був з внутрішньоукраїнських ресурсів та через проросійські компанії-агенти, які ГРУ-шні хакери підготували для себе заздалегідь.

Їхні спроби зашкодити українським мережам й критичним інформаційним системам тривали й надалі – були спроби хакерських вторгнень до деяких банківських систем, мереж провайдерів мобільного зв’язку та «Укртелекому», спроби уразити ІТ-системи енергогенеруючих інфраструктурних підприємств за допомогою новітньої версії шкідливого програмного забезпечення Industroyer.

Попри вищезгадані загрози, ми спостерігали бездоганний захист критичних інфраструктурних ІТ-систем України – незважаючи на війну, функціонували усі наші фінансові системи, ніхто не чув про вихід з ладу систем, що координують, наприклад, роботу Укрзалізниці чи атомних електростанцій.

І за цим усім стоять потужні «лицарі невидимого фронту» – на допомогу українським кіберфахівцям прийшли професіонали-важковаговики із дружніх країн та компаній (перш за все, кібер-професіонали з Microsoft, Cisco Talos та словацької компанії ESET, а також відповідні профільні фахівці деяких західних спецслужб).

Про злагоджені дії цих професіоналів і співпрацю із українськими командами фахівців згодом складуть легенди й глави підручників із кібернетичної безпеки.

Наприклад, в якості настольного кейсу для майбутніх студентів у галузі кібербезпеки розглядатимуть ситуацію, коли Центр протидії кібернетичним загрозам компанії Microsoft у лічені години 24 лютого 2022 року знешкодив закладки програми wiper malware, які хакери ГРУ заздалегідь встановили на численних комп’ютерах українських мереж та розраховували активувати разом із початком загарбницького широкомасштабного наступу російських військ.

Будуть згадувати й фахову допомогу словацької компанії ESET. З перших днів російського вторгнення ESET допомагав тримати кібернетичну оборону. Саме її фахівці успішно знешкодили декілька версій шкідливих програм-зловмисників від російських хакерів.

Варто також згадати про вагомі знижки й пільги для користувачів з України щодо використання програмних продуктів ESET для захисту інформації та комп’ютерів.

Не забудуть і знаного гіганта в царині мережевих технологій та обладнання Cisco Talos. З перших днів російського вторгнення ця компанія фактично включилася у дієвий захист IT-інфраструктури та мереж критичних українських підприємств. Близько 500 фахівців компанії фактично долучилися до технічних
команд цих підприємств. Саме завдяки їхньому досвіду та технологічним можливостям, що надавалися компанією Cisco Talos, ми спостерігали (й продовжуємо спостерігати) стабільне функціонування критичних ІТ-систем, що забезпечують їхнє надійне функціонування.

Також, варто згадати своєчасні дії компанії Google щодо захисту приватних даних та профілів користувачів з України в перші дні російської агресії.

Кібернетичні атаки

Рішучі успіхі української кіберармії та її союзників були б неможливими, якщо б вони перебували лише в обороні, захищаючи мережі й IT-системи від зухвалих дій ворожих хакерів. Секретом успіху на кібернетичному фронті стали сміливі атаки на російські мережі й ІТ-системи у відповідь, з перших днів широкомасштабного російського вторгнення.

Передусім, на нашому боці діяла втаємничена, але могутня організація Anonymous (як неважко здогадатися, під цією вивіскою ховаються найкращі професіонали, що афілійовані із провідними західними розвідками й спецслужбами). З перших годин широкомасштабного російського вторгнення
хакери Anonymous оголосили кібернетичну війну російському уряду. І були в своїх діях послідовними й жорсткими.

ДИВІТЬСЯ ТАКОЖ: Хакери Anonymous викрали матеріали РПЦ та заводу, який ремонтує російську військову техніку

Серед їхніх найбільш успішних акцій Anonymous та їхніх афілійованих структур були:

  • Організація витоків даних із внутрішніх баз даних провідних державних установ (Міноборони, ФСБ, Роскомнадзору, Гостелерадио, Міністерства культури, деяких місцевих органів влади тощо) та державних корпорацій (Газпром, Енерпред, Транснефть та ін.) Росії та Білорусії.
  • Зухвала акція щодо даних виробника зброї компанії «Тетраедр», а також РПЦ (ці матеріали надалі використовувалися з метою організації ефективного кібер-шпіонажу)
  • Паралізація роботи Російського Авіаційного реєстру
  • Успішні кібернетичні атаки на мережі провідних російських банків
  • Організація хакерських зломів мереж російських телеканалів з метою ретрансляції там сюжетів із правдивою інформацією про війну в Україні
  • Примус міжнародних організацій, що бажали продовжувати «бізнес на крові» в Росії та Білорусії, до згортання їхньої діяльності в цих країнах, завдяки погрозам чи реальним кібератакам (найбільшого розголосу здобула подібна історія щодо «умовляння» корпорації Nestle).

Не обійшлося й без прямого втручання західних спецслужб. Так, на початку квітня 2022 року фахівці американського ФБР заволоділи й відключили потужну мережу й пристрої, якими послуговувалися російські державні хакери з ГРУ, внаслідок блискавично проведеної операції.

Це збіглося у часі із успішною операцію німецьких спецслужб проти кримінального крила російських хакерських угруповань – так званої мережі Hydra.

IT Army of Ukraine

Окрім усього цього, до діяльності вищезгаданих професійних кібервоїнів, в царині наших кібернетичних атак разюче проявився той самий дух Холодного Яру – широкі верстви ІТ-фахівців долучилися до кібернетичної боротьби із російськими агресорами.

Була створена масова спільнота IT Army of Ukraine та деякі інші неформальні об’єднання, робота яких координувалася за мережевим принципом, через відповідні канали в Telegram.
І хоча ці спільноти здебільшого бавилися у відому гру «де-дося» (тобто, організація й проведення масованих DDoS-атак на мережеві вузли Росії та її поплічниці – Білорусії), їхні потуги виявилися ефективними.

Попри те, що DDoS-атаки вважаються не надто небезпечним видом атак (подібні до діяльності москітного флоту проти великих бойових кораблів супротивника), масовість та децентралізованість активістських спільнот спричинила неабиякий ефект в перші дні російського повномасштабного вторгнення.
Зокрема, завдяки цьому спостерігалися перебої у функціонуванні широкого спектру російських та білоруських інформаційних систем – від публічних сайтів державних організацій та пропагандистських засобів масової інформації до більш чутливих систем (наприклад, систем управління банкоматами провідних російських та білоруських банків, системи управління розкладом руху поїздів Білоруської залізниці та інше.

Кібернетичний шпіонаж

Дані, що отримують хакери внаслідок організації витоків даних (data leaks), стають одним із вагомих джерел інформації при проведенні кібернетичного шпіонажу. З цими даними продовжують надалі працювати фахівці з обробки й пошуку інформації , передусім групи, що задіяні у проведенні розвідки за відкритими джерелами інформації (OSINT).

Під час теперішньої широкомасштабної війни така зв’язка «хакери-групи OSINT» працює бездоганно.

Результатами такої роботи стали, зокрема численні операції з ідентифікації російських військових злочинців та членів їхніх родин. А це, в свою чергу, сприяло й сприяє зниженню бойового духу армії супротивника.

ДИВІТЬСЯ ТАКОЖ: «Схеми» ідентифікували ще двох матросів із затонулого крейсера «Москва»: вони – строковики

Особливо хотілось би відзначити діяльність волонтерської групи OSINT-досліджень Informnapalm. Створена ще в 2014 році, ця група продовжує ефективно викривати брудні секрети загарбників та їхніх колаборантів і тепер.

Інформаційна війна

В доктрині гібридної війни, що є нині фундаментом діяльності російської армії, інформаційна війна та інформаційно-психологічні операції (дезінформаційні кампанії) проти населення й військовослужбовців супротивника посідають вагоме місце.

Під час активної фази загострення військових дій на Донбасі в 2014-2015 рр.
нашими соціальними мережами ширилися численні фейки, створені й поширювані російськими пропагандистами та їхніми ботофермами й фабриками тролів.

Однак під час нинішнього повномасштабного вторгнення ми спостерігаємо на порядки меншу активність російських фахівців з психологічних операцій в нашому інформаційному просторі. І тут є цілком логічне пояснення – ці фахівці змушені весь час «сидіти в обороні», аби працювати із власним населенням на тлі протидії масованим й успішним інформаційним кампаніям з поширення правди
про військові дії й жертви серед російських військових у російських соціальних мережах.

В глуху оборону ж їх загнали майстерні дії наших союзників із британського кібернетичного підрозділу GIC (Government Information Cell) – cаме вони спромоглися заполонити російські соціальні мережі відео-
матеріалами про реалії війни та справжні втрати війська росіян в Україні.

Окрім того, тут також дме вітер з Холодного Яру. До боротьби із російськими пропагандистами долучилися широкі верстви наших кібернетичних активістів. Їхні спільноти надзвичайно масові й координуються в мережевий спосіб через спеціальні канали в Telegram. Завдяки масовості й координованості нашим борцям вдається ефективно блокувати пропагандистські ресурси ворога в соціальних мережах, а також вести контр-пропаганду в інформаційному просторі росіян (цьому сприяють і відповідні автоматизовані засоби, створені для цих активістів нашими програмістами).

Варто також зауважити, що керівництво деяких соціальних мереж (передусім, Facebook, Instagram, Twitter та Youtube) висловило чітку проукраїнську позицію й наміри сприяти боротьбі з російською пропагандою та мовою ненависті на своїх інформаційних майданчиках – це значно скорочує час блокування ворожих ресурсів за скаргами наших кібернетичних воїнів.

Окремо хотілось би описати двобої інформаційної війни, що точаться на платформі ділової соціальної мережі Linked In (https://www.linkedin.com/). На відміну від згаданих вище соціальних мереж,
розрахованих на невибагливих масових користувачів, ця платформа є передусім осередком для інтелектуалів-«білих комірців», де переважною мовою спілкування є англійська.

Тут професіонали створюють свої онлайн-профілі, аби описати свої навички й досягнення, давати рекомендації іншим професіоналам (та отримувати рекомендації від інших), здійснювати пошук нової роботи чи ділових партнерів, брати участь у професійних дискусіях тощо.

Коли розпочалася широкомасштабна агресія Росії, українські інтелектуали швидко усвідомили, що Linked In може стати дієвим каналом прямого доступу до інтелектуалів з інших країн, через який можна буде доносити правду про події в України та російські військові злочини та впливати на центри прийняття рішень в зарубіжних країнах (без спотворення інформації російською пропагандою та
фабриками тролів).

Однак на цьому фронті проукраїнські сили (як з України, так і з поміж людей доброї волі з інших країн) зіткнулися із шаленою протидією агентів російського впливу. І справа тут ось в чому – російські спецслужби досить давно наповнили цю мережу своїми оперативниками, що провадять там свою активну діяльність – фактично, ця платформа стала одним ізважливих інструментом ведення інформаційних війн Росією.

  • Один із підрозділів компанії Linked In, що відповідальний за модерацію контенту користувачів, розташований в Санкт-Петербурзі (Росія), і в ньому вдосталь оперативників російських спецслужб (а отже вони намагаються зловживати своїм службовим становищем для пригнічення проукраїнських дискурсів).
  • Високопосадовці компанії Linked In зі штаб-квартири в США, що відповідальні за службу підтримки користувачів та рівень задоволення користувачів рівнем сервісу платформи, донедавна воліли ігнорувати зловживання російського офісу компанії.

Тому в перші дні після початку широкомасштабної агресії ті, хто намагався просувати правду про російську агресію в Україні, стикнулися з масовим блокуванням своїх дописів та подекуди навіть своїх профілів у системі Linked In.

Ситуацію вдалося виправити приблизно в кінці березня 2022 року завдяки колективній дії активістів з усього світу. Комбінуючи тактику розголосу несправедливих рішень щодо дописів і профілів проукраїнських користувачів із тиском на вище керівництво компанії (все та ж сама тактика «name
and shame» – розголос і ганьба), активістам вдалося зменшити шкідливу дію модераторів з російського офісу компанії. Облікові записи заблокованих активістів було розблоковано.

Поодинокі блокування дописів усе ще інколи трапляються, але російським оперативникам вже не вдається втримати лавину правдивої інформації про злочини своїх військових в Україні, й інтелектуали зі всього світу готові до ухвалення правильних рішень на користь України – жертви російської агресії.

Зіткнення епох і формацій

До подій на фронтах кібернетичної війни можна цілком застосувати тези Валерія Пекара, згадувані на початку тексту.
Організаційна формація минулого (ієрархічна структура кібернетичних військ Росії) зіткнулась із сучасною мережевою й децентралізованою структурою кібернетичних сил, що діють на користь України.

Росіяни попервах навіть не розуміли цієї фундаментальної колізії, намагаючись знайти й знешкодити єдиний центр управління українським кібер-спротивом. Вони то витрачали шалено дорогі балістичні ракети у спробах зруйнувати командний центр 72 ЦІПСО у Броварах. А то намагалися знайти й фізично ліквідувати ключових фахівців-хакерів, що начебто координували спротив. Однак згодом і вони усвідомили – кібернетичну війну цього разу вони програли.

Георгій Грінченко – оглядач IT сфери

Думки, висловлені в рубриці «Точка зору», передають погляди самих авторів і не конче відображають позицію редакції

ДИВІТЬСЯ ТАКОЖ: Meta обмежила доступ до сторінок кількох державних медіа РФ на території України

ДИВІТЬСЯ ТАКОЖ: В Україну доставили ще одну партію обладнання Starlink – Федоров
ДИВІТЬСЯ ТАКОЖ: У Google підтримали Україну і запровадили обмеження для російських каналів – Reuters