Хто здобуває перевагу в кібервійні між Росією та Україною, і чи є шанси на проведення виборів через платформу "Дія"? Інтерв'ю з експертом у галузі кібербезпеки.
Кібервійна між Росією та Україною залишається темою, що обговорюється не так часто. В основному, в медіа можна зустріти лише короткі згадки про атаковані об'єкти та можливих винуватців. Хоча за останні три роки кількість жертв з українського боку незначно зросла, вражають масштаби цілей: злам систем Мін'юсту, руйнування цифрової інфраструктури "Київстар", а також нещодавня атака на "Укрзалізницю".
Системна увага до теми кібербезпеки на рівні держави і приватних ініціатив почала з'являтися лише десять років тому. "До 2015 року в Україні не існувало ринку кібербезпеки", - розповідає експерт з кібербезпеки, засновник компанії AmonSul і співзасновник найбільшої української спільноти з кібербезпеки Сергій Харюк.
Приблизно до того ж року в країнах колишнього СРСР діяла негласна домовленість: "не чіпати своїх". "Коли ми вивчали віруси, то знаходили в їх коді спеціальні інструкції. Якщо на пристрої вказані українська, російська, білоруська мови чи таймзони на зразок "Київ", "Москва" або "Астана", то вірус просто не запускався. Це виглядало як неформальна домовленість. Думаю, вона походила від спецслужб РФ: цей регіон - поза ціллю", - розповідає герой інтерв'ю.
Проте, з моментом анексії Криму та стартом конфлікту на Донбасі, російська сторона не лише вчинила порушення міжнародних норм, а й зламала цю умовну "джентльменську угоду".
Сьогодні кібервійни набувають характеру справжніх військових кампаній. Російський уряд створив власну ієрархію в кіберсфері, яка об'єднує як окремих хакерів і приватні фірми, так і спеціалізовані підрозділи Міністерства оборони. Всі вони діють в рамках спільної стратегії, метою якої є злом державних систем, здійснення шпигунства, викрадення інформації та поширення хаосу.
Харюк потрапив у число тих, хто став свідком початку кіберконфлікту між Росією та Україною. У 2015 році він брав участь у реагуванні на атаку, що вразила енергетичну компанію "Прикарпаттяобленерго", поклавши початок цій війні в цифровій сфері.
Що насправді означають наймасштабніші кібератаки в Україні? Хто за ними стоїть? Як функціонують російські хакерські угруповання? Чому вони так часто досягають результату та як усе це впливає на цифрову безпеку України?
Яка основна мета кібератак?
-- Усе залежить від мотивації тих, хто їх здійснює. Якщо дивитися через threat modeling (моделювання загроз), то можна виділити чотири типи дійових осіб.
Першими є молоді і захоплені ентузіасти – старшокласники або студенти, які бажають отримати практичний досвід і підняти своє самовартість, щоб потім з гордістю поділитися з друзями: "Я створив сайт Apple".
Другі — це хактивісти, які здійснюють зломи веб-сайтів для того, щоб акцентувати увагу на політичних або соціальних питаннях. Наприклад, вони можуть зламати сайт РЖД і опублікувати там інформацію про події в Сумах.
Третю категорію складають кіберзлочинці, які діють з фінансової вигоди, і їх найбільше. Для них це не що інше, як бізнес: вони створюють шкідливі програми, здійснюють атаки на підприємства, а потім вимагають викуп за відновлення доступу.
Четверті - це групи, які отримують фінансування від держави. Їхня основна мета рідко полягає у знищенні певних об'єктів інфраструктури. Частіше за все їх діяльність пов'язана з розвідкою та збором інформації.
Протягом останніх трьох років ми стали свідками кількох резонансних випадків, пов'язаних з "Київстар", Мін'юстом, "Укрзалізницею" та дата-центром "Парковий". Чи існує між ними якась спільна риса?
-- Усі вони були деструктивними. У випадку з "Київстаром" та Мін'юстом є ще одна спільна риса: інциденти відбулися в грудні. Чим особливий грудень? Це останній місяць року. Виглядає так, що умовний російський генерал захотів собі ще одну "зірочку" чи премію. Вони довгий час мали доступ до системи, а потім отримали відповідний наказ, тому що комусь треба було подати звітність.
Це лише припущення, але, знаючи, як працюють спецслужби РФ, можна сказати, що це типовий для них сценарій. Насправді таких інцидентів значно більше, але публічними стають лише ті, що спричиняють великий руйнівний ефект.
Існує переконання, що ці кіберінциденти стали руйнівними не внаслідок намірів агресора, а через те, що їхні первинні цілі були досягнуті, виявилися недосяжними або просто втратили свою значущість.
Вважаю, що тут присутні не лише одне джерело натхнення. Згадаємо випадок з "Київстаром": коли всі необхідні відомості вже зібрані, а ймовірність бути поміченим у системі зросла, злочинці можуть влаштувати своєрідний "фінальний акорд".
Замість цього розглянемо ситуацію з УЗ. Атака не сталася в грудні, а відбулася 23 березня. Чому саме тоді? Що пішло не так? Якщо розглянути ширший контекст, можемо помітити, що в цей період у Джидді проходили переговори щодо припинення атак на енергетичну інфраструктуру та встановлення режиму тиші на морі. Ця атака могла слугувати сигналом: "Якщо ви не знайдете компроміс, ми здатні зруйнувати не лише залізничні колії, але й енергетичну систему". Це могло бути проявом сили. Хоча збіг у часі може здатися випадковим, він є дуже показовим.
-- Мета атак - паралізувати роботу і сіяти паніку чи це побічний ефект глибших цілей, враховуючи, що зловмисники могли перебувати в системі місяцями, як у випадку з "Київстаром", який інвестував у кібербезпеку?
-- Висновки важко робити, ми з вами не на боці того, хто це робив. "Київстар" інвестував у кібербезпеку, але витрачати гроші - не означає робити це ефективно.
Коли вони проводили тендери на тестування захищеності (penetration testing), одним з головних критеріїв була низька ціна. Наша компанія участі в цих тендерах не брала, але ринок кібербезпеки в Україні доволі малий, ми всі спілкуємося між собою. Саме з таких розмов з колегами на ринку відомо, що навіть провідні компанії, які подавалися на тендери з мінімальними цінами, програвали.
Окрім того, розширена інфраструктура завжди забезпечує більшу площу для потенційних атак. Чим більше існує технологій, систем та працівників, тим більше з'являється точок доступу та вразливих місць.
Іншим ключовим елементом в діяльності російських сил є узгодження кібератак з фізичними ударами. Часто спостерігається, що комп'ютерні атаки відбуваються одночасно з ракетними ударами. Наприклад, перед нападом на важливі об'єкти інфраструктури може проводитися паралельна спроба зламу або нейтралізації систем.
-- Успішна кібератака - це та, про яку ніхто не дізнався?
Все визначається метою. Коли мова йде про розвідувальні дії, успішною вважається атака, яка залишилася непоміченою щонайменше до моменту виконання завдання. Існує відомий випадок, коли кілька країн об'єднали свої технології для атаки на ядерну програму Ірану. Інформація про цю операцію стала доступною лише після її успішного виконання.
-- Якщо кібератаки порівнювати з бойовими діями у фізичному світі, то коли, на вашу думку, почалася російсько-українська війна?
-- У 2015 році з атаки на "Прикарпаттяобленерго". Я пам'ятаю відео, яке бачили одиниці, де оператор пульта управління знімав на телефон, як його комп'ютер блокується: мишка не працює, він нічого не може зробити, але й вимкнути машину не може, бо це критичне обладнання.
Отже, кібератаки часто виконуються паралельно з активними військовими действиями та політичними подіями?
Так, саме так, але у кіберпросторі існують певні ускладнення. На відміну від реального світу, віртуальному середовищі майже неможливо точно визначити, звідки походить атака.
Ілон Маск нещодавно повідомив, що його соціальна мережа зазнала атаки з IP-адрес, розташованих в Україні. Проте це не є переконливим доказом, оскільки сервер міг бути орендований. Встановити особу, яка відповідальна за цю атаку, є досить складним завданням і вимагає наявності вагомих доказів.
Хто ж є ініціатором кібератак з Росії? Це державні структури, приватні фірми чи, можливо, якесь організоване угруповання?
Це система, що поєднує державні органи та приватні підприємства, які співпрацюють між собою. У Росії неможливо просувати кібербізнес без взаємодії з урядовими структурами.
З відносно недавнього можна згадати компанію Group-IB, відому за межами РФ, яка аналізує кіберзагрози. Її засновника Іллю Сачкова у 2023 році засудили до 14 років за держзраду. Як пізніше стало відомо з медіа, Сачков передав американцям дані про Fancy Bear (хакерське угруповання, намагалося вплинути на президентські вибори в США у 2016 році - ЕП), яке допомогло виявити частину російських спецслужбістів. Імовірно, діяв неузгоджено і за це поплатився.
Чи існує у них централізоване управління, яке встановлює цілі для нападів?
На мою думку, система функціонує за моделлю "непрямого керівництва". Лідер не дає прямих вказівок, а висловлює побажання, наприклад: "Потрібно, щоб енергетичний сектор не працював" або "Транспорт повинен зупинитися". Після таких заяв виконавці самостійно обирають способи втілення цих ідей в життя.
Отже, встановлюється только курс.
-- Так. Це схоже на східну культуру управління, коли ти отримуєш сигнали чи натяки. Я спілкувався з багатьма людьми і ніхто не згадував про конкретну особу, яка "курує" російську кібербезпеку. Такої фігури, принаймні публічної, немає.
Ось новий варіант вашого тексту: -- Останнім часом з’явилися розповіді про ГРУ та військові підрозділи. Чи є це елементом більшої екосистеми?
Отже, ці організації здійснюють останній етап нападів. Проте існують і інші учасники, які займаються розробкою відповідних інструментів.
Отже, деякі групи займаються створенням засобів для проведення атак?
-- Авжеж. Певні приватні або напівлегальні компанії створюють інструменти, які потім використовують спецслужби або угруповання для конкретних дій. Це розподілена система, у якій ніхто не робить усе, але кожен виконує свою роль.
Чи має особливі риси російська хакерська спільнота?
Вони вирізняються шовіністичним та імперським світоглядом: "Ми на передовій, ми знаємо все". Незважаючи на те, що це сучасні професіонали, які виросли в епоху Інтернету та мали доступ до різноманітних джерел інформації, більшість з них залишилася у рамках парадигми "мать Россия". Багато з них мали можливість виїхати за кордон і заробити великі гроші, але ідеологічно не змогли звільнитися від своїх переконань.
-- Я читав, що російська хакерська спільнота не дуже інтегрована зі світом.
-- Абсолютно. Розповім з особистого досвіду. Колись я спільно з товаришем засновував спільноту з reverse engineering. Він українець, тут народився, закінчив НАУ. Однак у 2014 році, надивившись пропаганди, вирішив, що він "великий росіянин", звільнився з компанії Samsung і поїхав працювати в Росію.
Хотів влаштуватися в "Лабораторію Касперського", але його не взяли. Напевно, ФСБ вважала його "засланим козачком". Англійську він знав лише на рівні читання і це типова ситуація. Більшість з них не володіє розмовною англійською, не спілкується з глобальними спільнотами, хоча читає і збирає інформацію. Це така закрита екосистема, яка бере, але мало що віддає назад.
-- Як вони вибирають цілі для атак? Це хаотичні атаки чи чітко сплановані?
Вони діють зосереджено, застосовуючи різноманітні методи. Наприклад, можуть використовувати фішинг або атаки на суміжні системи, відомі як supply chain-атаки. Якщо їм не вдається безпосередньо вразити Міністерство юстиції, вони звертаються до більш вразливого ланки – податкової служби. Через неї надсилають на перший погляд легітимний електронний лист зі шкідливим файлом.
Вони чітко усвідомлюють свої цілі, тому здатні проникати навіть у військові системи, збирати інформацію або, як це відбувається зараз, нападати на Signal, оскільки усвідомлюють його важливість.
Яка може бути вартість проведення кібератаки?
Ціна залежить від мети. Наприклад, напад на високо захищене підприємство, таке як завод, що виробляє зброю і оснащений новітніми технологіями та програмним забезпеченням, може обійтися в десятки мільйонів доларів.
На що витрачаються ці кошти?
— Заробітна плата, проведення досліджень, створення інструментів, реалізація атак. У кожному програмному забезпеченні існують слабкі місця, навіть у найновіших версіях, проте виявити їх — це схоже на наукове дослідження. Ми виходимо з припущення, що вразливість присутня, але її місцезнаходження залишається невідомим.
-- Буває, що витрачаєш ресурси, а нічого не знаходиш?
Вірно. Можна вкладати величезні суми і залишитися без жодного результату. Це і є основна проблема: не всі охочі ризикувати фінансами заради потенційного, але невизначеного успіху.
Позначу одну цікаву історію. Існує ринок zero-day-експлойтів — це уразливості, про які виробник ще не знає і які ще не були виправлені. Вважається, що продукти Apple, а особливо iPhone, є одними з найскладніших мішеней для злочинців. Мій знайомий мав досвід роботи в команді, що займалася вивченням цих вразливостей. За його словами, ціна одного експлойту для iPhone могла досягати декількох мільйонів доларів.
Якось він брав участь у розслідуванні реальної атаки, яка трапилася на Близькому Сході. Там журналіст, який писав на теми, чутливі для місцевої влади, отримав смс із шкідливим кодом. Він мав активуватися після відкриття смс, але журналіст не став його відкривати і надіслав команді, де працював мій знайомий.
Експерти видобули експлойт із повідомлення, проаналізували його деталі і пізніше оприлюднили результати дослідження. Внаслідок цього, зловмисники "розкрили" свій інструмент, вартість якого, за оцінками, становила приблизно чотири мільйони доларів.
-- Чи можна сказати, що росіяни не шкодують грошей на кібератаки?
Так, вони постійно вкладають ресурси в цю галузь протягом багатьох років. Такі компанії, як Positive Technologies, Digital Security і Kaspersky, мають розвинені дослідницько-розробницькі центри, які займаються виявленням вразливостей у відомих програмних продуктах та системах критичної інфраструктури.
Яка картина кібербезпеки в Україні, зокрема в державному секторі?
-- У 2015 році ми були на початковому етапі. Зараз ситуація значно змінилася. Повністю запобігти кібератакам неможливо, але якщо постійно моніторити й впроваджувати правильні контролі, то можна зменшити шкоду.
У кіберпросторі багато залежить від фінансування. Це гонка бюджетів: у кого він більший, той перемагає. Якщо у ворога є десять мільйонів доларів, а в нас на захист - пʼять, то перевага буде на боці нападника. До того ж захищатися важче і дорожче.
-- Хто задає тенденції: нападники чи оборонці?
-- Залежить від креативності. Якщо захисник знайде недороге ефективне рішення, він виграє. Якщо нападник зробить дешеву ефективну атаку, то виграє він.
-- Це все народжується в умовних R&D-відділах?
-- Так, але в Україні з цим складно. У нас R&D - це радше побічний ефект основної роботи, коли хтось у процесі щось придумав і реалізував. Повноцінних R&D в наших компаніях майже немає.
-- Як би ви оцінили стан кібербезпеки в держсекторі?
Головною проблемою є формалізм у підходах. Це стосується не лише державних установ, але й приватних підприємств. Хоча в Україні існують потужні регулятори, такі як Держспецзв'язку, вони часто виявляються повільними й не завжди оперативно реагують на зміни. Проте, війна стала каталізатором для впровадження нововведень.
Чимало бізнес-експертів вирішили приєднатися до армії, Служби безпеки України та Державної спеціальної служби зв'язку, привнісши в ці структури нові підходи, що характеризуються гнучкістю та орієнтацією на результат. Виникли ефективні управлінські практики, схожі на ті, що використовуються в комерційній сфері: визначені цілі, встановлені KPI та можливість адаптації. Це вже можна помітити.
У березні в Києві відбувся форум, присвячений кіберстійкості, в рамках якого проходили змагання CTF. Команди, що представляли державні установи, зайняли перші позиції. Ще десять років тому перемога або потрапляння в десятку серед державних команд викликали б справжнє захоплення. Нині ж державний сектор випереджає приватний, адже в ньому працюють мотивовані фахівці з бойовим досвідом та реальними досягненнями.
Однак бувають ситуації, подібні до тієї, що сталася з ДП "Національні інформаційні системи".
-- Так, буває. За моєю інформацією з приватних розмов, НАІС довго не приєднувалися до системи моніторингу Держспецзв'язку, а вони могли б зафіксувати підозрілу активність.
Коли ж ми станемо свідками того, що відбувається в нашій країні, в Росії?
Подібні заходи вже реалізуються, однак, здебільшого, у вигляді хактивізму. Українські фахівці, які часто працюють у державних установах, у вільний час займаються цими питаннями. Офіційно в Україні відсутні чітко визначені підрозділи для атак у кіберпросторі. Навіть якщо такі дії здійснюються якоюсь спецслужбою, вони проходять у неформальному руслі.
Проте на самому початку конфлікту була заснована IT-армія.
-- Так, на базі спільнот створювалися чати, де волонтери допомагали державі: підказували, як закрити вразливості, допомагали руками. ІТ-армія - це, скоріше, хактивістський проєкт. Її дії зводяться до DoS-атак. Це найпростіший інструмент, який не має великого ефекту. Тобто це більше символічна дія, ніж справжня шкода.
Чи маємо ми щось схоже на російські кібервійська у формі ГРУ?
-- Ні, офіційно в Україні таких структур немає. Є оборонна складова. Атакувати ми формально не маємо права. Можливо, наші спецслужби мають такі можливості, але вони не афішуються і, швидше за все, працюють з іншим статусом.
-- Про це ніхто публічно не скаже?
Так, саме так. Існує кілька підстав для цього. По-перше, з точки зору міжнародного права. По-друге, як тільки офіційно підтверджується участь у нападі, це створює прецедент. Навіть Сполучені Штати, які мають спеціалізовані підрозділи для кібервійськових операцій, рідко визнають свою активну участь.
-- У нас часто відбуваються серйозні кібератаки, про які не повідомляють?
Важко дати точну відповідь. На мою думку, на кожен публічно обговорюваний інцидент існує щонайменше чотири випадки, про які не згадують. Це особливо стосується приватного сектору. Наприклад, колись у ботах, які займаються збором інформації про людей, з'явилася відомість, що частина даних була "злита" з аптечних мереж. Це яскравий приклад можливого "витоку", однак жодні офіційні підтвердження цього факту не надавалися.
-- Держава в таких випадках має говорити про інциденти чи замовчувати їх?
-- Під час війни важко дати однозначну відповідь, оскільки я не військовий. Потрібно розділяти: якщо це стосується загалом Сил оборони, то, напевно, не варто публікувати. Якщо ж іде мова про цивільні компанії, то краще відкрито повідомляти, оскільки це дозволяє іншим учитися на чужих помилках.
Наприклад, "Київстар" визнав тільки те, що їх зламали, але справжня співпраця почалася лише після зламу УЗ. Тоді фахівці оператора приїхали допомогти з відновленням. Однак це вже як допомога після того, як людина зламала ногу.
-- У нас немає майданчиків, де можна обговорити такі інциденти?
-- Ні, такого механізму немає. Наприклад, у США певні компанії зобов'язані публічно повідомляти про зламування. Це подається у вигляді детального звіту, який може прочитати кожен. У нас така інформація "ходить по знайомих". Хтось щось дізнався, передав іншому і, можливо, це комусь допоможе.
Також, ми майже ніколи не спостерігаємо, щоб винуватці з'являлися після подібних випадків.
-- Так, у цьому теж проблема. Навіть якщо компанію зламали, вона викликає фахівців. Вони все відновлюють і далі всі мовчать. Ніхто не несе відповідальності і компанії не інвестують у захист, поки не "прилетить". Гарний приклад - вірус Petya у 2017 році. Тоді атака відбулася через бухгалтерську програму M.E.Doc. Яку відповідальність понесла компанія? Вибачилася перед клієнтами.
Чому ринки кібербезпеки в Європейському Союзі чи Сполучених Штатах є більш розвиненими, ніж в нашій країні? Однією з ключових причин є наявність чітких та суворих регуляторних норм. Якщо компанія не виконує встановлені вимоги, вона ризикує отримати значний штраф або навіть втратити можливість працювати на цьому ринку. Саме з цих причин ми в AmonSul приділяємо особливу увагу західним ринкам.
-- Чому так відбувається?
-- У нас немає лідерства в цьому за державною вертикаллю. Є ухвалена і навіть підписана президентом доктрина про кібервійська, був і відповідний законопроєкт. Проте цього недостатньо, оскільки будь-який закон має хтось реалізовувати. Потрібна конкретна людина, яка піде і почне все це робити.
-- В Україні активно просувається цифровізація. Наскільки це ризиковано з погляду кібербезпеки?
Будь-яка цифрова трансформація з самого початку супроводжується ризиками, і це цілком природно. Найважливіше – не ігнорувати питання безпеки та активно управляти ризиками. Наприклад, при створенні програмного забезпечення питання кібербезпеки повинні враховуватися вже на етапі проектування, а не лише після його впровадження.
В Україні намагаються це впроваджувати. Візьмімо "Дію", "Мрію", "Армію+", "Резерв+". Коли ці системи запускали, про кібербезпеку думали "по ходу". Зараз починають наймати спеціалістів, переглядати архітектуру, щось покращувати.
В Україні періодично виникає обговорення теми виборів. Одним із можливих варіантів їх реалізації є електронне голосування, зокрема через платформу "Дія". Які ж ризики можуть виникнути в цьому процесі?
-- Найбільший ризик - валідувати виборця. У класичних виборах ви заходите в кабінку, вас ніхто не бачить і ваш вибір анонімний. У цифровому форматі важко гарантувати, що натискання на кнопку за Зеленського, за Порошенка, чи за когось іншого зробили саме Іван, Сергій чи Петро без чийогось впливу.
З впровадженням штучного інтелекту ці загрози стають дедалі серйознішими. У ситуації, коли злочинці здатні імітувати ваше обличчя й голос, хто може запевнити, що хтось не здійснив голосування від вашого імені? Навіть цифрові підписи можуть піддаватися технічним проблемам.
Чи є можливість для росіян перешкодити проведенню такого голосування?
Це абсолютно реальна небезпека. Російські сили можуть націлитись як на інфраструктуру, так і на систему голосування. Уявімо собі ситуацію, коли верифікаційний механізм у "Дії" стикається з певними обмеженнями. Наприклад, може бути встановлено лише кілька запитів на підтвердження, щоб запобігти атакам типу DoS.
Якщо система не перевіряє, хто надсилає ці запити, хакери можуть масово їх підробляти, використовуючи справжні ID. У результаті реальний користувач, коли спробує проголосувати, отримає блокування на, наприклад, 30 хвилин. Якщо це ближче до завершення виборів, то він просто не встигне проголосувати.
