Joseph Menn для The Washington Post у матеріалі «Impact of Ukraine-Russia war: Cybersecurity has improved for all» зібрав значну кількість інформації про спроби росії через хакерські атаки перешкоджати роботі українських захисників та органам влади. Автор розповідає і про те, що ворогу зробити не вдалось, і про те, що вдалось. Втім усе це лише допомогло зміцнити міжнародне співробітництво, для подолання ворожих викликів.
в Києві, Україна, в 2021 році. Злам, який вивів безпілотники з ладу, є одним з успіхів кібервійни росії проти України (Efrem Lukatsky/AP)
Кібератаки росії на Україну
Кібератаки росії на Україну впродовж минулого року призвели до видалення даних, погіршення зв’язку й крадіжок інформації, але вони далекі від призведення руйнувань, які багато хто передбачав після повномасштабного вторгнення рік тому.
На думку експертів, кампанія, можливо, допомогла зробити Україні щеплення від більш руйнівних атак, розкривши російську тактику, коли ставки були найвищими, довівши цінність швидшого співробітництва та інших захисних заходів і зруйнувавши міф про росію як про нестримну кібернаддержаву.
“Ми не тільки краще підготовлені, ми можемо поділитися отриманими уроками“, – сказав Георгій Дубінський, заступник міністра з безпеки Міністерства цифрової трансформації України.
Це резонує в Європі та Сполучених Штатах, які тісно співпрацювали для захисту України, а тепер імпортують стратегію та розвідку для захисту власних кібермереж.
“російське вторгнення дійсно спонукало до розширення кіберспівробітництва між США і ключовими союзниками, особливо в східній Європі, – сказав Брендон Вейлс, виконавчий директор Агентства кібербезпеки та інфраструктурної безпеки США (CISA) і координатор американського міжвідомчого оборонного реагування. – Коли справа доходить до роботи в секторах внутрішньої критичної інфраструктури, війна активізувала оперативне співробітництво, яке ми почали“.
Інноваційні атаки
Україна мала вагомі підстави очікувати найгіршого. росія використала інноваційні атаки на спеціалізовані програмні засоби управління, щоб відключити подачу електроенергії в окремі райони країни взимку 2015 і 2016 років. І вона продовжувала використовувати свого конкурента як випробувальний полігон з випуском NotPetya, надзвичайно руйнівного програмного забезпечення, яке поширилося через українську податкову програму і заподіяло шкоду у розмірі одного мільярда доларів збитків. Сполучені Штати висунули звинувачення шести співробітникам російської розвідки в причетності до цих атак.
Це посилене відчуття небезпеки допомогло. Спецслужби США і кілька великих американських технологічних компаній роками тісно співпрацювали з Україною, обмінюючись інформацією про нові загрози й розробляючи список кращих практик всередині критично важливих об’єктів, таких як двофакторна аутентифікація, надійне резервне копіювання в автономному режимі й використання декількох постачальників хмарних сервісів, доступних з будь-якої точки світу.
Кроки української влади для захисту від кібератак
Українська влада встановила більш досконале апаратне і програмне забезпечення і прийняла законодавство, щоб надати своїм регулюючим органам більше повноважень і гнучкості для захисту даних, які вони зберігають про громадян, сказав Дубінський The Washington Post.
“За тиждень до вторгнення ми змогли зберегти копії в хмарі. Це був прорив, – сказав Дубінський. – Ми змогли перенести наші критичні дані за кордон до Amazon AWS, Microsoft Azure, Oracle та інших постачальників без будь-яких формальностей“.
Результатом не стала герметична архітектура і деякі атаки пройшли успішно. росія посилила свої фішингові атаки через соціальні мережі та використала вкрадені акаунти, щоб краще орієнтуватися на окремих осіб всередині уряду. Але обмеження доступу до обмеженої кількості користувачів, які мали фізичні маркери як другий фактор аутентифікації, допомогло уникнути катастрофи.
data wipers – “очищувачі даних”
росія за допомогою інших засобів впровадила безліч деструктивних програм, відомих як data wipers – “очищувачі даних”, і вкрала паспортні дані з прикордонних станцій, які могла використовувати для відстеження українців. Вона також зламала систему супутникового зв’язку Viasat, яку використовували військові, і вивела з ладу безпілотники Bayraktar турецького виробництва, чиї успіхи в боротьбі із загарбниками в перші місяці війни були відзначені в широко поширених відеороликах. Google розкрила злам в цьому місяці, але не уточнила, яку вкрадену інформацію росіяни використовували для ураження безпілотних літальних апаратів.
Вона також поєднувала кібератаки та фізичні вибухи, щоб змусити інтернет-трафік проходити через інфраструктуру, яку вона контролює.
“Вони перерізали оптичні волокна і зруйнували “вишки” стільникового зв’язку, щоб позбавити людей доступу до цифрового простору України, перемикнути їх на цифровий простір росії, – сказав Дубінський. – Коли у вас немає цифрового простору, кібербезпека марна“.
За його словами, пряме звернення до Ілона Маска привело в країну термінали Starlink і допомогло зберегти доступ в Інтернет для більшої частини країни.
російський уряд і пов’язані з ним злочинні хакери намагалися проникнути в більшість українських міністерств, і в деяких випадках їм це вдалося. В останній раз через задні двері, які були створені спеціально до повномасштабної війни.
росія і союзні їй угруповання, що видають себе за патріотичних хактивістів, заявляли про всілякі витоки урядових документів. Більшість з них – підробки або перебільшення, але не всі. Інші її пропагандистські кампанії, які також проводились в інтернеті, були великими й продовжувались у всьому світі.
Пропаганда мережами автоматизованих акаунтів у соціальних мережах
Деяка частина пропаганди була посилена мережами автоматизованих акаунтів у соціальних мережах, які допомогли ненадовго просунути #ZelenskyWarCriminal до списків трендів Twitter у Сполучених Штатах, Франції, Італії та інших країнах. За словами дослідників з некомерційної групи Reset, деякі з тих же акаунтів також рекламували криптовалюту і, зовсім нещодавно, кандидата в президенти Нігерії Пітера Обі.
Але найбільша спроба росії знову послабити владу України за допомогою версії спеціалізованого програмного забезпечення, що використовувалася проти промислових цілей у 2016 році, була припинена security software, оскільки в ній повторно використовувалося в значній кількості більш раннього коду.
Реакція інтернет-гігантів
Інше приватне програмне забезпечення виявило більше вторгнень, частково шляхом перевірки на незвичну поведінку. Дубінський похвалив Microsoft, Google та Cloudflare за допомогу, частково засновану на їхньому аналізі великої активності користувачів. Він зазначив, що в їхніх інтересах побачити, що відбувається в Україні, і застосувати це для захисту клієнтів по всьому світу.
Корпорація Майкрософт створила 24-годинну захищену гарячу лінію, щоб при виявленні атаки її корпоративний віцепрезидент з безпеки Том Берт міг негайно зателефонувати провідним захисникам України.
Берт сказав, що практика компанії полягала в повідомленні всіх цілей про спроби зламу, підтримуваних державою, але що гаряча лінія й особистий контакт “є свого роду повідомленням в білих рукавичках” для атак, пов’язаних з війною, які тепер були поширені й на НАТО і деякі уряди країн НАТО.
Як і Дубінський, Берт попередив, що росія продовжує пробувати нові методи. Але вони роблять це під мікроскопом: “Ми дізнаємось більше про те, як ці суб’єкти діють і як вони розвивають свою реакцію“.
Уряд США допоміг, залучивши до боротьби злочинні групи вимагачів, деякі з яких звернули свою увагу на українські цілі. Арешти, розбирання та конфіскації збентежили деяких учасників цієї тіньової економіки, а санкції позбавили їх частини доходів, що призвело до зниження загальних зборів.
“Через санкції стало важко реально платити цим хлопцям“, – сказав Біллі Леонард, глава відділу аналізу урядових загроз Google.
Кроки інших країн для захисту від кібератак
Офіційні особи в Сполучених Штатах застосовують те, що спрацювало в Україні, до своїх власних зусиль щодо забезпечення кібербезпеки. Вейлс заявив, що дворічна спільна організація з кіберзахисту (JCDC), до складу якої входять великі постачальники хмарних послуг, комунікацій та безпеки, ділиться великою кількістю розвідки, включаючи ту, яку розсекречено впродовж дня.
“Ми змогли отримати інформацію впродовж декількох годин після початкового зараження в Україні, де члени JCDC ділилися нею і використовували всередині своїх систем, щоб захистити сотні тисяч критично важливих об’єктів інфраструктури по всій території Сполучених Штатів“, – сказав Вейлс.
Як й інші інформаційно-пропагандистські зусилля в Україні, CISA зараз фокусується на тому, що вона називає “цільовими багатими й кібернетично бідними” секторами економіки, захищаючи лікарні, школи й місцеві органи влади, які постраждали від програм-вимагачів за останні кілька років.
Можливо, найголовніше, що CISA вивчила урок зі стійкості України, який довів, що робити бази набагато краще, ніж нічого не робити, сказав Вейлс.
“Повільно і неухильно вони покращували свою архітектуру безпеки й користувалися підтримкою Заходу, включаючи приватний сектор, – сказав він. – Національні держави мають великі кібернетичні можливості, але ви можете їх зробити складнішими“.
Підготували Альона Береза, Валентина Повзун
Читайте також
Що Україна означає для світу?
Чому росія і Україна воюють через Бахмут
