Конфликт между Россией и Украиной также разворачивается в киберпространстве. 23 декабря 2015 года около 17:00 энергетическая компания «Прикарпаттяоблэнерго» сообщила о сбое в подаче электричества в Ивано-Франковской области. Впоследствии стало известно, что это была массированная кибератака, которая отключила 30 подстанций и 80 тысяч людей от электроэнергии. До того времени кибервойна на Украине была весьма ограниченной и зачастую описывалась как война, которой никогда не было.

Как изменила атака на электрическую сеть кибервойну на Украине? Является ли кибервойна настоящей угрозой?

Перед украинской революцией 2013 года киберпространство на Украине ничем не отличалось от остальных в Восточной Европе. Случаи киберпреступлений были типичными: фишинг-кампании, вредоносные программы, блокирующие пользователю доступ к компьютеру и требующие выкуп, промышленный шпионаж, а также хакерский и кибервандализм в форме DDoS-атак или дефейсов (замена страницы вебсайта на другую) против государственных институтов. Однако сразу после революции киберпространство изменилось.

По словам главы украинского CERT-UA Николая Коваля, еще во время революции изменился уровень и изощренность кибератак и используемых вирусов. Начальник киевского представительства международной компании по IT-безопасности ISACA Глеб Пакаренко добавил, что после событий на Майдане на протяжении двух недель непрерывно осуществлялись DDoS-атаки. Политический контекст, цели, выбор времени и высокий технологический уровень атак навели на мысль, что за ними стоит очень хорошо финансируемая команда, составленная из опытных сотрудников с очевидным политическим интересом, заключающимся в нанесени ударов по украинским государственным целям.

Одна из недавних и самых крупных кибератак на Украине была проведена 21 мая 2014 года (так в источнике – ред.), когда группа «Киберберкут» во время президентских выборов атаковала страницы Центризбиркома (ЦВК), где в режиме онлайн публиковались результаты голосования. На протяжении 20 часов сайт оставался недоступным, а затем на нем появилась информация о победе лидера радикального Правого сектора Дмитрия Яроша. Это была продуманная и хорошо подготовленная атака.

Для нападения на ЦВК «Киберберкут» якобы воспользовался уязвимостью нулевого дня, что, как правило, является прерогативой государств или как минимум финансируемых государством групп, потому что уязвимости нулевого дня дороги и менее доступны для негосударственных субъектов. Уязвимости нулевого дня — это ошибки в программном обеспечении, которые могут возникнуть при его создании. После обнаружения хакерами они превращаются в самое сильное их оружие.

Этот инцидент очень точно передает характер кибертак на Украине — чисто политический, информационный и неразрывно связанный с общим подходом России к киберпространству. Россия говорит исключительно об информационной, а не о кибербезопасности, а также об использовании информации как оружия. Этот подход в контексте российской пропаганды и манипулирования информацией не удивляет. Но атаки на новостные сайты и медиагруппы, конечно, не являются односторонними: и против прозападных, и против пророссийских сайтов информагентств на Украине предпринималось несколько атак.

К тем, кто стоит за киберкампаниями на Украине, относятся группы Ourobros и Sandworm, известная как APT 29 и стоявшая за атакой на фирму «Прикарпаттяоблэнерго». Наиболее примечательной группой, однако, является APT 28, которая действует помимо Украины в Турции, Польше, Венгрии, странах Прибалтики, на Кавказе, в Норвегии и в таких организациях, как НАТО и ОБСЕ. Это одна из наиболее значимых и изощренных российских кибергрупп. APT 28 воспользовалась для атак уязвимостями нулевого дня программ Adobe и Windows, полученными от пресловутой организации Hacking Team, которая разрабатывает шпионские программы и другие киберинструменты для государств по всему миру. Для своих атак APT 29 несколько раз воспользовалась так называемым «черным ходом», открывающим неограниченный и полный доступ к нужному компьютеру. Группа встроила «бэкдор» инновационным способом посредством страниц Твиттера и GitHub, что позволило ей закачать нужные данные на хостинги, к которым у хакеров был доступ.

APT 29 удавалось скрывать свою деятельность в массе интернет-операций, производимых жертвами в течение рабочего дня. Обе группы используют социальную инженерию и фишинг-кампании для получения доступа к системам своих жертв. Как и в случае APT 28, деятельность этой группы по нескольким причинам относят к России. Цели APT 29 полностью соответствуют геополитическим интересам Российской Федерации, а высокий технологический уровень ее атак говорит о значительных финансовых и кадровых ресурсах. Эти организации действуют исключительно в рабочее время в часовом поясе Москвы, и их работа приостанавливается во время российских национальных праздников и выходных.

Во время атаки на украинскую электростанцию хакеры внедрились в систему благодаря украденным данным доступа к IT-системе компании, которые получили с помощью простой фишинг-кампании посредством вредоносной программы BlackEnergy3, скрытой в документах Word и Excel. Но намного более изощренным было получение доступа к промышленной системе, которое позволило хакерам отключить от электричества 80 тысяч человек. На протяжении полугода перед атакой хакеры собирали информацию, вели мониторинг информационной конструкции сети и ее безопасности, но, прежде всего, искали пути доступа к серверам виртуальной внутренней сети компании, через которую они смогли выйти на физические средства управления электросетью.

Хакерам удалось внедрить в коннекторы между регулярным интернет- и последовательным соединением на физических выключателях электричества на подстанциях специально разработанный вирус KillDisk, который их отключил и стер все данные. Таким образом, это была весьма трудоемкая операция. Что главное — это была первая массированная атака на критическую инфраструктуру подобного типа. По словам членов американского центра ICS-CERT, которые сотрудничали с украинцами при расследовании случившегося, подобную атаку можно совершить против кого угодно.

Так угрожает ли подобное нападение всем электрическим сетям? Руководство словацкого центра CSIRT, как и многие другие специалисты, тоже считает эту атаку заурядной. Учитывая, что хакеры имели доступ к системе на протяжении шести месяцев и дистанционно подключались к физическим средствам управления электросетью, проблему полностью могла бы решить любая программа, предназначенная для мониторинга безопасности IT-системы, которую можно без проблем скачать в интернете и которая выявила бы всякую подобную деятельность. Атака BlackEnergy, как ее прозвали, скорее, выявила слабость киберзащиты на Украине. Это подтверждает и тот факт, что во время атаки хакеры совершили DDoS-нападение на телефонный центр энергетической компании, сделав таким образом невозможной общение клиентов с фирмой. Все это выявило некомпетентность фирмы в области безопасности.

Таким образом, эту атаку можно считать, скорее, исключением и полным провалом украинской стороны. Ведь кибернападения на Украине носят чисто информационный характер, а операция BlackEnergy стала первой атакой, повлекшей за собой реальные физические последствия. Вместо деструктивных кибернападений на военные мощности Украины в рамках войны на востоке страны хакерские кампании сосредотачиваются исключительно на получении информации или краже секретных данных, военных или разведывательных документов. Способность российских хакеров перенаправить GPS-сигнал через собственные сети не использовалась для атак — ее применяли исключительно для получения информации.

Одной из крупнейших кибернетических кампаний была операция «Армагедон» — масштабная шпионская кампания против украинской администрации, армии и спецслужб, которая стартовала в 2013 году и во время которой хакеры использовали фальшивые обновления программ Internet Explorer, Adobe Flash Player и Google Chrome, чтобы скрыть кражу информации и другие свои действия в системах жертв.

Действия таких групп, как APT28 и APT29, направлены, прежде всего, на получение информации, а не на крупные атаки, что указывает на российский подход к киберпространству, основанный на концепции информационной войны и информационной безопасности. События на Украине говорят о том, что концепцию кибервойны, скорее, нужно понимать как войну информационную. Кибервойна может иметь стратегический, а не чисто военный эффект. Таким образом, атаки могут носить лишь вспомогательный характер в рамках традиционных кинетических конфликтов.

Однако и это представляет собой большую опасность, поскольку подобное использование киберпространства оказывает очевидное психологическое воздействие через влияние на общественное мнение, подрыв легитимности государственных авторитетов и создание атмосферы страха и хаоса. С военной же точки зрения речь идет о манипулировании данными, программным обеспечением и о получении важной информации.

Атака с серьезными последствиями, требующая большой финансовой и технологической поддержки, не вписалась бы в современный официальный дискурс России, которая утверждает, что никак не участвует в войне на Украине. В случае открытой войны, конечно, все может измениться. Однако на Украине физическое нападение оказалось проще и принесло намного более ощутимые результаты.

Одним из первых зданий, занятых при захвате Крыма российскими зелеными человечками без знаков отличия, был офис Internet Exchange Point: таким образом россияне сразу же взяли под контроль интернет в Крыму — и без необходимости в кибератаке. Точно так же украинские правые экстремисты просто подорвали линии электропередач, связывающие украинские подстанции с Крымом. То есть обрыв проводов все равно оказывается самым простым и быстрым методом борьбы.

Перед инцидентом с электрической сетью в Ивано-Франковской области ни одно из кибернетических нападений на Украине не выливалось в физическое нападение. Так Россия подтвердила, что киберпространство открывает прекрасные возможности для гибридной войны, прежде всего, благодаря использованию серой сферы международного права и отсутствию технических возможностей возложить ответственность за кибернетическую атаку с юридической точки зрения на кого-либо. Учитывая, что атака на украинскую электрическую сеть был лишь заурядным и легко преодолеваемым инцидентом, сама по себе кибервойна не несет прямой угрозы.

Но угрозу представляет война информационная, и тот факт, что министерства обороны некоторых европейских стран-членов НАТО никак отдельно не занимаются концепциями кибер- и информационной безопасности, в свете событий на Украине, конечно, вызывает большое беспокойство.

Автор работает в Ассоциации по международным вопросам (AMO)

Источник: Kybernetická válka je další formou rusko-ukrajinského konfliktu