Українські розробники і спеціалісти з кібербезпеки відкрили новий вимір для війни – кіберпростір. Сотні тисяч любителів та професіоналів долучились до атак на російські сайти та інфраструктуру. Як їм вдалось організуватись та хто ними керує
Воєнний номер Forbes Україна
Цей матеріал із Воєнного номеру Forbes Україна — спеціального випуску журналу. Придбати його можна за цим посиланням. Редакція зробила номер у найгарячішу фазу війни, яку Росія розпочала проти України. Мета – зафіксувати зроблене армією, владою, підприємцями, українським народом для відсічі агресору та подивитися в українське майбутнє.
Російські хакери проникли в українські військові, енергетичні й інші критичні комп’ютерні мережі, сповістило за тиждень до початку війни видання The Washington Post, посилаючись на дані американської розвідки. Західні експерти з кібербезпеки прогнозували, що у разі початку воєнних дій Україна зазнає руйнівних кібератак.
Повномасштабна війна триває два місяці. Хоча енергетичні компанії, провайдери, банки та держоргани стали цілями російських хакерів, нанести серйозних втрат їм так і не вдалось. Вони проводили DDoS‑атаки на сайти, вивели з ладу модеми супутникового оператора ViaSat, якими користувались і військові, намагалися стерти дані одного з банків та інтернет‑провайдера.
Найсерйознішою була атака на «Вінницяобленерго», коли угрупування Sandworm, що складається з офіцерів ГРУ, намагалося відключити світло у майже 2 млн мешканців області. Хоча в мережі хакери проникли, вимкнути електроенергію для жителів так і не вдалось. Українські захисники успішно відбиваються.
Росіяни ж не очікували шквалу кібератак з України. Щодня з’являються новини про виведення з ладу російських сайтів президента, уряду, міноборони, податкової, біржі, «Газпрому», «Лукойлу», ТАСС, Russia Today, зливи даних з Центробанку та ряду інших установ.
Як влаштоване українське кібервійсько та хто ним керує?
«З 18 перших днів війни 15 я провів у підвалі хрущовки в Києві, зрідка виходячи вигуляти собаку. Працюю з двома паличками мобільного інтернету», – розповідає доцент Київського політеху Олексій Шалденко. Це не завадило йому об’єднати понад 400 своїх студентів та випускників у групу, що розробляє інформаційні чат‑боти та здійснює DDoS‑атаки на пропагандистські ресурси.
Таких груп, як у доцента Шалденка, по всій країні десятки. Щоб координувати їхню діяльність, Міністерство цифрової трансформації на третій день війни створило Telegram‑канал IT Army of Ukraine. Станом на 27 квітня в ньому було 284 491 учасники. І це лише частина української кіберармії. Держспецзв’язку на середину березня оцінювало загальну кількість кіберактивістів у 400 000 фахівців із кібербезпеки, програмістів, студентів, залучених у боротьбу.
У Мінцифри заявляють, що на 15 березня українці організували понад 50 атак потужністю більш як 1 ТБ на секунду. Недоступними регулярно стають портали російських державних сервісів, фондові біржі, сайти ЗМІ. Загалом за цей час поклали близько 250 російських сайтів. З них 50–60% зазнали серйозних труднощів, підрахував Кріс Партрідж, спеціаліст із кібербезпеки в Amazon. Один із секретів успіху – масовість руху. «Величезна кількість людей зібралася, щоб зробити все можливе для підриву інтернету в Росії», – додає він.
Крім кількості IT‑активісти використовують просунутий софт. Так, IT‑підприємці перепрофілювали систему для тестування стійкості сайтів стартапу Hacken – Disbalancer – під проведення DDoS‑атак. «У перший день вирішили, що його треба застосувати проти російської пропаганди», – розповідає засновник Hacken Дмитро Будорін.
Кількість щодня уражених російських сайтів поступово зменшується: впроваджують захист. Українська кіберармія теж адаптується. Алгоритми Disbalancer зробили більш розумними, а атаки переключили із сайтів на інфраструктуру – сервери, каже Будорін.
На піку в перші дні Disbalancer для атак використовували понад 12 000 комп’ютерів. На середину березня їхня кількість зменшилася до 3000–4000. Наразі Будорін планує провести кілька «маркетингових» кампаній, аби залучити для атак 100 000 комп’ютерів. «Така армія зможе генерувати 14,3 ТБ трафіку на секунду і покласти абсолютно будь‑яку інфраструктуру, незважаючи на захист», – каже Будорін.Що дають DDoS‑атаки?
«Якщо в Росії банк чи держустанова перестане працювати протягом доби, це вже проблема у неперервності процесів», – пояснює засновник CyberLands Сергій Харюк. Атаки мають психологічний вплив. «Ми робимо речі, некомфортні росіянам, і ніби кажемо: «Вам некомфортно, бо заблоковані інтернет‑сервіси, а нам – бо над головою літають крилаті ракети», – каже Єгор Аушев, засновник Cyber Unit.
Не всі вважають масовані DDoS‑атаки хорошою ідеєю. «Атакувати чужі інтернет‑ресурси незаконно. Україна веде суто оборонні операції, а такі атаки підривають репутацію», – стверджує Марина Кротофіл, старша технічна радниця з кібербезпеки інфраструктури ISSP.
З прагматичної точки зору мирного часу таке зауваження правильне, відповідає Харюк. «Але, дивлячись на те, що відбувається в країні, неможливо бути дуже прагматичним», – додає він.
Це перша подібна кібервійна. Навряд чи можна відштовхуватися від Женевської конвенції
Дмитро Будорін СЕО Hacken
DDoS‑атаки не єдиний напрям зусиль масового активістського руху. Активісти засипають скаргами пропагандистські відео у YouTube, пости у Facebook, ворожі Telegram‑канали.
Сторінки російських ресторанів, банків та інших закладів у Facebook, Instagram і Google теж стали полем бою. На сторінці одного з московських кафе українці залишили відгуки на кшталт такого: «Лишилася трохи розчарована. Я просила medium rare, а принесли недосмажене м’ясо». Його ілюструвало фото обгорілого російського солдата. Мер Москви Сергій Собянін назвав це «справжньою психічною інформаційною атакою», приписавши її «професіоналам і великим системним структурам».
Ще один спосіб – email‑розсилки. Громадяни РФ масово отримують листи, які показують правду про війну в України. Вони популярні у росіян, відкривають 20–30%, каже Шалденко. Це навіть вище показників для професійних розсилок у B2B‑сегменті. Через низку додатків автодозвонювання активісти розсилають росіянам СМС. «Основна ідея – пробити стіну пропаганди», – каже Шалденко.
Ще один напрям, за який взялася команда доцента КПІ разом із Мінцифри,– тиск на міжнародні ІТ‑компанії, щоб вони вийшли з Росії. Основні «цілі» – компанії, що надають захист від DDoS. На серію листів відреагувала американська Netscout, повністю згорнувши захист російських вебресурсів. Найбільші гравці на світовому ринку – Cloudflare та Akamai – заявили, що перестають обслуговувати організації під санкціями, проте залишаються на російському ринку.
Кіберпрофесіонали
Єгор Аушев, засновник стартапу з кібербезпеки Cyber Unit, у перший день війни запропонував колегам долучитися до боротьби. «За перші 30 хвилин отримав понад 100 запитів про готовність допомогти», – каже він. На початок березня його група налічувала приблизно 1000 фахівців. «Ком’юніті, яке в різний час між собою конфліктувало, об’єдналося і допомагає державі», – констатує Харюк з CyberLands. За його оцінками, загальна кількість професіоналів у сфері кібербезпеки, що долучилися до боротьби, – майже 5000.
Якщо до «ІТ‑армії» Мінцифри може долучитися будь‑хто, то до груп на зразок Аушева – лише фахівці. Вони займаються більш складними завданнями: кіберрозвідкою та збором даних, пошуком вразливостей, зламом і розміщенням правдивої інформації на сайтах, атаками на інфраструктуру, яку використовують російські військові. «60% нашої активності – завдавати втрат державній і військовій інфраструктурі»,– каже Харюк. Він відмовляється конкретизувати цілі, аби не полегшувати ворогу захист.
У групи Будоріна пріоритет – війна із пропагандою: дефейси чи блокування за допомогою DDoS сайтів російських ЗМІ, масові розсилки по злитих базах російських громадян. Ще одна ціль – відволікання ресурсів ІТ‑спеціалістів від контратак на українську інфраструктуру. «Постійний тиск з нашого боку змушує їх багато працювати на відбиття атак», – додає Будорін.
Його компанія, що має власну платформу для пошуку вразливостей, започаткувала дві програми. Перша – оборона – пошук вразливостей в українській критичній інфраструктурі. Її підтримали дві глобальні платформи Bugcrowd та HackerOne, що об’єднують понад 1 млн етичних хакерів. Знайдені вразливості передають у Національний координаційний центр кібербезпеки (НКЦК) для виправлення.
Друга ініціатива націлена на атаку. «Ми зібрали білих, сірих, чорних хакерів, щоб вони шукали вразливості в критичній інфраструктурі РФ та повідомляли про них», – каже Будорін. Далі в координації з НКЦК фахівці беруть вразливості у розробку. Деталі про цілі та статус атак не розкривають. «У необхідний момент у росіян будуть серйозні втрати»,– натякає Будорін.
«Ми – легіон»
Серед 1000 фахівців у групі Аушева близько 40% – іноземці, зокрема працівники глобальних компаній. Це не виняток – на бік України стало багато міжнародних хакерських угруповань.
Найвідоміше з них – Anonymous. Вони оголосили «війну» російській владі ще 24 лютого. «Жодна нація не заслуговує на вторгнення за примхою безумця», – написали в одному з Twitter‑акаунтів, пов’язаних з Anonymous. Це не одне угруповання, а десятки різних хакерських груп, які час від часу працюють під цим брендом. Два десятки з них заявили про підтримку України.
За перші тижні їм вдалося: зламати російську мережу камер спостереження та розмістити на них проукраїнські меседжі, на частині державних телеканалів грав український гімн. Вони також оприлюднили персональні дані 120 000 російських солдатів та більш як 200 ГБ даних білоруського військового підприємства «Тетраедр». Злами продовжились і у квітні.
На бік України стали й білоруські хакери. Їхнє угруповання «Кіберпартизани» зламало і пошкодило системи Білоруської залізниці. Диспетчери змушені були перевести керування у ручний режим, що уповільнило пересування російської військової техніки і доставку боєприпасів.
Всього на боці України виступили 48 міжнародних хакерських угруповань. 20 – на боці Росії, де більшість з них і знаходиться, підрахував активіст на прізвисько CyberKnow.
«До нас звертаються навіть з Росії. Місцеві спеціалісти з кібербезпеки вміють обходити інформаційну блокаду, яку встановив Путін, і часто зливають дані», – каже Аушев. Коли російське хакерське угруповання Conti заявило про підтримку агресора, їхнє внутрішнє листування за рік опинилося в мережі.
Зв’язані однією ідеєю
До 24 лютого більшість сьогоднішніх бійців кіберфроніту не мали досвіду атакувальних операцій. «Координація налагоджувалася, але важко», – розповідає про перші дні війни Харюк. Спочатку українські кібервійська, зламуючи російські сайти, діяли прямолінійно: зламав, розмістив інформацію про злочини росіян в Україні.
Нині вже є координація між групами, з’явився «розподіл праці». Одна група зламує сайт. Доступ передають іншій, яка розмістить матеріали під виглядом реальних новин. «Приміром, що Шойгу перехопив владу. Щось, що розхитує човен», – каже Харюк. Окрема група людей займається рекламою у соцмережах, аби поширити новину. «Кожна група фокусується на своєму і не знає повної картини – з метою операційної безпеки»,– каже Харюк. Спілкуються і координують зусилля у закритих чатах. Зараз це вже не самодіяльність, завдання приходять від Міноборони, РНБО, Мінцифри, СБУ, каже Аушев.
Шалденко, який координує роботу кількох груп, зокрема своїх студентів та випускників, розповідає про організацію як у типовому IT‑стартапі: ідеї та гіпотези обговорюють у чатах, обирають відповідального, той визначає технологічний стек і збирає команду для реалізації. Наприклад, сайтом, що відслідковує західні компанії, які вийшли з РФ, займається команда з п’ятьох осіб: двох розробників, дизайнера та двох менеджерів. «Якщо проєкт великий, то є й проджект‑менеджери, беклог у Trello», – розповідає Шалденко.
Зазвичай від ідеї до «релізу» проєкту минає від одного дня до тижня. Шалденко каже, що тільки він знає мінімум 50, які зробили українські IT‑активісти: сайт і чат‑бот для пошуку полонених та вбитих російських солдатів 200rf.com, чат‑боти для інформування про мітки, про підготовку «коктейлів Молотова», додаток для пошуку працюючих аптек та АЗС тощо.
Хто головний в українській кіберармії? Його немає. Це найбільш відомі російські групи хакерів Fancy Bear, Sandworm працюють під керівництвом офіцерів ГРУ. Харюк каже, що українське кібервійсько схоже на блокчейн: ззовні дуже хаотичне, незрозуміло, хто головний. «У цьому і є сила: ми децентралізовані, але поєднані єдиною ідеєю. А ідея не тримається на одній людині», – додає він.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.