Вечером 15 февраля Украина в очередной раз за последние месяцы стала объектом хакерской атаки: ей подверглись крупнейшие банки страны и сайты государственных структур, в том числе Министерства обороны. Некоторые наблюдатели расценили эту атаку как возможную прелюдию к российскому вторжению в Украину. Так ли это на самом деле?
За последние месяцы Украина не первый раз подвергается кибератакам: самая крупная из них до вчерашнего дня произошла еще 14–15 января. Тогда злоумышленникам удалось не только взломать сайты министерств и приложение "Дiя", аналог российского сервиса госуслуг, но и похитить персональные данные миллионов людей из базы МВД страны. Некоторые электронные сервисы, например сервис проверки полиса страхования гражданской ответственности автовладельцев, не работали после этой атаки еще несколько недель.
Как рассказал в среду журналистам министр цифровой трансформации Украины Михаил Федоров (его ведомство – одно из самых молодых в стране – было создано осенью 2019 года), кибератака 15 февраля стала "крупнейшей DDoS-атакой в истории Украины", организация которой стоила не менее миллиона долларов. Чиновник утверждает, что ее целью было посеять среди украинцев панику, но хакерам не удалось достичь своих целей. Украинские официальные лица пока не обвиняют Россию в случившемся прямым текстом, но, по словам начальника кибербезопасности СБУ Ильи Витюка, "такие атаки всегда проводят государства, создающие под них специальную инфраструктуру", а "единственной страной, которая заинтересована в таких ударах [по Украине], является Российская Федерация".
График, на котором видны сбои в сети Приватбанка, подвергшегося атаке вечером 15 февраля:
На самом деле DDoS-атаки, когда на атакуемые серверы одномоментно обрушивается огромное число запросов, выводящих их из строя, – один из самых незамысловатых и недорогих инструментов в арсенале киберпреступников. Атаки 15 января или 16 февраля не сравнятся по своим последствиям с событиями 2017 года – тогда вирус-вымогатель Petya.A фактически парализовал IT-структуру десятков украинских компаний и государственных ведомств, в том числе и стратегически важных – например, систему документооборота Чернобыльской АЭС. Власти Украины обвиняли в распространении вируса российские власти, впрочем, Petya.A также нанес ущерб и другим странам – включая саму Россию.
Опасения, что массированные кибератаки, призванные нарушить работу гражданской и военной инфраструктуры страны, могут быть предвестником войны, – небеспочвенны. Подобную тактику Россия уже применяла в Грузии, накануне военного конфликта 2008 года, когда сайт президента Грузии Михаила Саакашвили был взломан еще 22 июля, за несколько недель до начала активных военных действий.
Один из основателей волонтерской группы "Украинский киберальянс" Андрей Баранович сомневается в оценках украинских чиновников и называет сумму в миллион долларов, якобы потраченную на организацию атаки 15 февраля, "глупостью". В то же время в интервью Радио Свобода Баранович допускает, что эта атака могла быть лишь прикрытием для похищения новых чувствительных данных из компьютерных систем, как это уже произошло месяц назад. По его словам, следы хакеров действительно ведут в Россию – но масштаб происходящего пока не позволяет говорить о том, что речь идет о предвестнике скорого российского вторжения.
– Стоит ли вообще рассматривать хакерскую атаку на украинские банки и сайты в контексте возможного российского вторжения?
– Я думаю, это правильно. Может быть, это и не начало атаки, но это вполне можно назвать военной диверсией, направленной на IT-инфраструктуру. Все началось гораздо раньше, ровно месяц назад, когда 14 января произошли дефейсы государственных сайтов ("дефейс" – тип хакерской атаки, в результате которой одна или несколько страниц сайта, как правило главная страница, заменяется на другую. – Прим. РС). Спустя какое-то время выяснилось, что это были не только измененные картинки на веб-сайтах, а было украдено огромное количество очень чувствительной информации с государственного портала "Дiя", из Министерства внутренних дел, из Министерства регионального развития и, возможно, еще из каких-то ведомств. Тогда правительство заняло весьма странную позицию: они просто перешли к отрицанию, что ничего не произошло, хотя образцы этих данных лежат в интернете, и любой человек может их скачать и убедиться, что они свежие, правдивые и настоящие. То есть это была очень длительная операция, когда нападающие очень долго сидели в этих системах, и когда они получили все, что хотели, то попытались устроить такую провокацию – выдать это за действия каких-то польских националистов.
Точно так же сейчас, перед тем как началась DDoS-атака, была массовая рассылка СМС с польских номеров о том, что 15-го числа не будут работать банкоматы крупнейшего государственного банка "Приват". Продолжение вот этой "псевдопольской" темы показывает, что, по сути дела, это одна и та же атака, и если бы DDoS-атака была успешной и банки бы действительно "легли", то вкупе с этими эсэмэсками она, в принципе, могла бы вызвать панику. С другой стороны, я думаю, что атакующие – а это выгодно в первую очередь Российской Федерации – не учли того, что у нас люди начинают переживать и бежать к банкомату не тогда, когда приходит СМС из Польши, а когда правительство говорит, что все в порядке.
– Что на самом деле вчера происходило, каков был объем этой атаки? Что не работало, как долго не работало?
– Пока тяжело оценить. Представитель компании Hostmaster, которая обслуживает доменную зону gov.ua, еще вчера написал, что на серверы доменных имен, которые обслуживают государственные домены, пришло порядка 60 гигабит трафика, и они с ним справились. Это не очень много. Ближе к вечеру перестали работать сайты Министерства обороны, кабинета министров, на какое-то время "падал" сайт президента, были перебои с сайтами банков. Но этой атаки оказалось недостаточно, чтобы повалить все полностью, все-таки Украина – это не Казахстан и не Беларусь, тут очень сложно "выключить" какой-то интернет-сервис целиком, не говоря уже о том, что мало кто, на самом деле, ходит на государственные сайты, и у всех у них есть странички в социальных сетях, где они рассказывали о том, что сайты временно не работают. Сама по себе DDoS-атака – это не более чем баловство. Я опасаюсь того, что DDoS-атака была использована только для отвлечения внимания, и пока все обсуждают DDoS, могло происходить что-то еще.
– Вы сказали об атаке 14 января. Расскажите подробнее, что это за сервис, "Дiя" и чем опасна утечка данных, которые в итоге утекли в сеть?
– "Дiя" – это государственное приложение. В России есть аналогичное, "Госуслуги". Задумка нашего Министерства цифровой трансформации была в том, чтобы объединить все услуги на одном государственном портале и в одном приложении для телефона. Их неоднократно предупреждали о том, что у подобной архитектуры есть существенные недочеты и в случае атаки этот портал и это приложение станут единой точкой отказа. Так как государственный портал имеет доступ ко многим реестрам, то там накапливается большое количество информации о гражданах: адреса, телефоны, имейлы. Вот эти данные и утекли. Псевдохакер с ником FreeCivilian пытается сейчас изображать, что это была криминальная атака, делает вид, что эти данные продаются, но я полностью уверен, что никакие "криминальные" хакеры к этому отношения не имеют, это была, скорее всего, Российская Федерация, возможно Беларусь, или те и другие вместе. Есть много следов, как технических, так и не технических, которые указывают на диверсию со стороны России. Вслед за дефейсами сайтов, вслед за утечками была еще и попытка уничтожить часть систем, и это им даже отчасти удалось – в нескольких министерствах часть систем не работала неделю или две, но потом все удалось восстановить.
"Ущерб был причинен колоссальный"
– Какие следы, технические и не технические, как вы говорите, указывают на Россию?
– К примеру, незадолго до дефейсов, в самом начале января, и нам, "Украинскому киберальянсу", и представителям украинских спецслужб приходило анонимное письмо – приглашение вместе атаковать Россию, "показать, на что способна Украина". Персонаж, который сделал это предложение, связан с волной "минирований", которые происходили в России около двух лет назад. Тогда эту волну связывали с криптовалютной биржей BTC-E/WEX, с Константином Малафеевым. И там же использовалось определенное вредоносное ПО – как показывает технический анализ, практически идентичное тому, которое использовалось 15 января. Об этом есть отчет CERT-UA, украинской команды быстрого реагирования на чрезвычайные события (функционирует в составе Государственного центра киберзащиты Государственной службы специальной связи и защиты информации Украины. – Прим. РС), и есть подтверждающий эти выводы независимый отчет подразделения Talos компании Cisco (это подразделение занимается исследованием угроз в области компьютерной безопасности. – Прим. РС). Не говоря уже о том, что вывешивать провокационные сообщения на ломаном польском языке… Мне кажется, это все-таки были не поляки.
– В сеть в том числе утекла онлайн-база полисов обязательного страхования автовладельцев. Насколько большое количество людей эта база охватывает? То есть те люди, которые получили ее, имеют теперь подробные личные данные миллионов украинцев?
– К сожалению, да. Это даже не просто система страхования, которая в Украине называется МТСБУ. Насколько я понимаю из опубликованных утечек, атакующие получили полный доступ к системе "Электронный водитель". Это система МВД, а оттуда уже имелся прямой доступ к внутренним базам данных МВД, где содержится большое количество информации. Точно так же, когда была атака белорусских киберпартизан на МВД Беларуси, именно из полицейских баз они получили огромное количество информации, например о служебных машинах. У номеров прикрытия в такой базе будут стоять специальные пометки, таким образом можно найти сотрудников спецслужб, разведки, контрразведки. Ущерб Украине был причинен колоссальный. Я удивлен тому, что Министерство цифровой трансформации пытается отрицать этот ущерб, потому что это бессмысленно. Признаем мы эту атаку атакой или не признаем, ущерб уже нанесен, и надо думать о том, как бороться с последствиями этих утечек, а не дальше зарывать голову в песок.
– Самой крупной хакерской атакой в истории Украины, насколько я понимаю, остается атака 2017 года на государственные учреждения и объекты инфраструктуры с помощью вируса Petya.A. Было ли сделано в Украине что-то с тех пор для защиты от подобных атак? Вы говорите о том, что надо думать, как ликвидировать последствия, – а как, собственно, их ликвидировать?
– Определенная работа все-таки была проведена. Я смотрю, как сейчас реагирует киберцентр при Совете безопасности и обороны, как реагирует Служба специальной связи, читаю их отчеты и публичные заявления. Когда атака уже происходит, то реагируют они довольно быстро и профессионально. Но в целом, как система, как какая-то институциональная деятельность, кибербезопасность в Украине по-прежнему отсутствует. Есть, конечно, киберстратегия Украины, есть даже план по ее реализации, но это наполовину случайный набор разных действий, иногда полезных, иногда бесполезных, и в целом скоординированной общей политики, как сделать Украину более устойчивой к кибератакам, к сожалению, по-прежнему нет.
– Что можно было бы для этого сделать?
– В первую очередь любую систему нужно обслуживать. Нельзя просто купить ее на сайте публичных закупок, включить и делать вид, что все работает. В отличие от бытовых приборов, за сложными IT-системами нужен постоянный присмотр, их нужно обновлять, модернизировать. Получается, что сейчас часть украинских IT-систем как бы ничья, никто за них не отвечает. То есть они работают, а когда что-то ломается, ответственных найти невозможно. Я считаю, что выход тут один – это частно-государственное партнерство, когда крупные частные компании будут поддерживать для государства эти системы. Желательно, чтобы это была не одна такая компания, чтобы ее нельзя было повалить, как вчера это произошло, а чтобы их было несколько, чтобы была умеренная централизация. И, естественно, первейший вопрос – это вопрос об ответственности. То есть, если что-то происходит, должен выйти вполне конкретный человек, который скажет: "Я знаю, что произошло, и я знаю, что сделать, чтобы все починить".
"Российская инфраструктура защищена лучше, чем украинская"
– Какие уязвимости обычно используют хакеры при атаках на Украину? И можно ли сравнить методы хакеров, действующих против Украины сейчас, с методами, которые использовались, например, якобы российскими хакерами во время атак на другие страны Запада, в том числе на США?
– Методы всегда похожи. Часто используется фишинг – поддельные письма от имени крупных сервисов, это вредоносное программное обеспечение, которое распространяется вместе с документами в файлах формата PDF и DOC. Всегда остаются какие-то следы, и можно объединить разные атаки по оставшимся техническим следам, чтобы с уверенностью говорить: да, это одни и те же атакующие, а потом уже пытаться определить их национальную принадлежность.
– Предусмотрен ли в украинской стратегии борьбы с киберугрозами какой-то ответ на такие атаки, симметричный или не симметричный? Джо Байден во вторник в своем видеообращении сказал, что США готовы дать "решительный ответ", если Россия атакует их или их союзников с помощью кибератак. Насколько реальна эта его угроза? Российская инфраструктура вообще защищена от кибератак лучше, чем американская или украинская, или нет?
– Я думаю, что российская инфраструктура защищена чуть лучше, чем украинская, за счет лучшей дисциплины и давления со стороны Федеральной службы безопасности. Но она защищена не настолько хорошо, как им кажется. Даже нашей небольшой группе волонтеров, когда мы занимались активной "наступательной деятельностью", было достаточно легко взламывать важные и иногда даже критические системы в России. Сейчас в Украине уже около года президент Зеленский говорит о создании кибервойск, они даже предусмотрены и в киберстратегии и в плане ее реализации, но я сомневаюсь в организационных способностях президента и его команды и не думаю, что эти заявленные кибервойска будут готовы хоть к оборонительным, хоть к наступательным операциям в какое-то ближайшее время.
– Все мы читаем про помощь стран Запада Украине вооружениями. Может ли Запад помочь Украине в сфере обеспечения кибербезопасности?
– Да, без сомнения. Здесь есть и совместные проекты, идет финансирование по разным каналам. Пару лет назад USAID открыл большой проект, в нем было предусмотрено около 40 миллионов долларов только от этого фонда. К сожалению, между кибербезопасностью и западными донорами у нас еще есть Министерство цифровой трансформации с абсолютно фантастическими представлениями о реальном мире. Министр Федоров как-то сказал, что роль кибербезопасности несколько "преувеличена", что он уволил всех сотрудников, а все по-прежнему работает. Если эту помощь получает Министерство цифровой трансформации, то я очень сомневаюсь в том, что она может быть израсходована сколь-нибудь эффективным способом. Не говоря уже о том, что у того же USAID до Украины не было проектов, связанных с кибербезопасностью. Тем не менее, я очень рад тому, что страны Запада помогают Украине, пригодится любая помощь. Усиливается взаимодействие специальных служб с частными компаниями. Когда 14 января было найдено вредоносное ПО, которым собирались уничтожить часть систем, то анализом занималась компания "Майкрософт", и они выпустили свой отчет буквально через день. Это ценно, это дает понимание, как произошла атака и чего ждать в дальнейшем.
– В конце я хотел бы вернуться к вчерашней атаке. DDoS-атака, как вы сами ее назвали, это "баловство". Если предположить, что Россия приняла решение вторгаться в Украину, какого типа атаки стоит ожидать накануне этого вторжения? Такой же, как вчера, или чего-то более серьезного?
– Если это будет такая атака, как вчера, то этого совершенно недостаточно. Как я уже говорил, Украина – это не Беларусь и не Казахстан, и выключить тут интернет очень тяжело. Так что без интернета, я думаю, не останемся. Могут быть и такие атаки. Могут быть, как они уже показывали в 2015-м и в 2016 годах, атаки на энергосистему и другую критическую инфраструктуру, и это, конечно, тоже опасно, она недостаточно защищена. Но я все-таки надеюсь на то, что, как и в случае с атаками 2015 года, даже если выключится автоматика, то спустя какое-то время, несколько часов, систему получится перезагрузить в ручном режиме, а потом вернуть автоматику на место.
– А средства связи? Насколько велик риск, что накануне возможного вторжения Россия сможет просто отключить Украину от связи?
– Я не думаю, что это возможно. По части связности Украина входит в топ-10 стран Европы. У нас около двух тысяч разных провайдеров, хорошо организованы операторы мобильной связи. Можно, конечно, вызвать какие-то кратковременные перебои в отдельных местах, но отключить Украину от связи – это просто нереально, - говорит Андрей Баранович.
"Опасность вторжения остается реальной"
Несмотря на то, что 16 февраля "вторжения" России в Украину не случилось, страны Запада не склонны забывать об исходящей угрозе от дислоцированных рядом с украинскими границами российских войск. Данные из открытых источников говорят о том, что "вывод войск после учений" пока остается лишь словами: составы с военной техникой продолжают следовать в западном направлении, а в реальности к местам постоянной дислокации были отведены лишь несколько подразделений из аннексированного Крыма. Впрочем, эти части и в "обычной жизни" дислоцируются недалеко от Украины.
О том, что угроза полномасштабной российско-украинской войны остается "реальной", заявил в среду и госсекретарь США Энтони Блинкен. По словам Блинкена, Соединенные Штаты также осуждают обращение депутатов Госдумы к Владимиру Путину с просьбой признать независимость самопровозглашенных Донецкой и Луганской "народных республик". Несмотря на то что на словах Путин пока отверг это предложение, формально у него остается еще почти месяц, чтобы дать на него депутатам официальный письменный ответ. По мнению экспертов Министерства иностранных дел Эстонии, чей анализ был опубликован 15 февраля на сайте ведомства, Россия по-прежнему готова атаковать Украину, и эта готовность сохранится как минимум до конца февраля.