Киберблицкриг против киберсолидарности

Почему Кремль проигрывает в киберпространстве?


Фактически Россия объявила Украине кибервойну еще в 2008 году, когда запустила против соседа троян под названием «Уроборос», считает Арно Барикелла из французского Jacques Delors Institute (Notre Europe), подготовивший доклад «Кибератаки в гибридной войне России против Украины и их последствия для Европы». До полномасштабного вторжения Украина служила для российских кибервойск полигоном для отработки новых инструментов ведения кибервойны: например, в 2015 году Россия дистанционно отключила три несвязанные друг с другом электростанции в западной части Украины, на несколько часов оставив без света 225 тыс. человек, а в 2016-м проделала то же самое в Киеве. 2017 год стал годом вируса NotPetya, с помощью которого была осуществлена беспрецедентная по масштабам кибератака — и ее тоже связывают с Россией. Тогда хакерам удалось захватить 13 тыс. устройств и около 30% всех компьютерных систем, которые используются в украинских госорганах и на госпредприятиях (включая, например, Чернобыльскую АЭС), которые вследствие атаки безвозвратно утратили все имевшиеся данные. Эта акция коснулась не только Украины: от NotPetya пострадало примерно 50 тыс. компьютерных систем на территории 65 государств, а жертвами стали известные международные компании, например крупнейший датский перевозчик Maersk и европейское подразделение FedEx (их ущерб оценивается более чем в $10 млн). 

Исследователи в сфере информационной безопасности считают, что в России сложились полноценные кибервойска, которые состоят из многочисленных подразделений различных государственных ведомств, частных IT-компаний и независимых команд, объединяющих «патриотично настроенных» хакеров. По результатам различных расследований, собственные и независимые друг от друга структуры для осуществления кибератак имеются у ФСБ, СВР, ГРУ, МВД, ФСО и Администрации Президента. Конгресс США считает, что кибергруппировкой, ведущей «информационную» войну, является и Агентство интернет-исследований — знаменитая «фабрика троллей», которую связывают с Евгением Пригожиным. 

Российские кибервойска воюют не только против Украины — их мишенью на протяжении прошедшего десятилетия становились самые разные страны Западной Европы. Так, Эстония пострадала от DDoS-атак, инициированных российскими хакерами в ходе дипломатического конфликта с Россией в 2007 году, а, например, в 2018-м сотрудники ГРУ попытались атаковать системы Организации по запрещению химического оружия, которая тогда занималась расследованием отравления Скрипалей. 

До украинского вторжения российские войска уже служили поддержкой традиционным военным подразделениям: в 2008 году хакеры работали «плечом к плечу» со своими коллегами из ВДВ в ходе пятидневной войны с Грузией. Предполагалось, что в Украине кибервойска будут действовать аналогично — всего за час до вторжения хакеры атаковали интернет-провайдера Viasat, отключив от Сети часть населения Украины и других европейских стран и даже остановив удаленное управление ветряными мельницами в Германии. По оценкам Microsoft, за первые четыре месяца войны Россия осуществила 237 кибератак с целью уничтожения инфраструктуры 50 украинских госорганов, еще больше организаций пострадали от попыток российских хакеров похитить государственные данные. «64% всех российских кибератак с февраля по июнь были направлены против Украины», — говорится в свежем докладе Microsoft по вопросам цифровой защиты. 

Как и в нецифровом мире, российская кибервойна против Украины выглядит не способной достичь каких-то определенных целей, но доставляет массу проблем и одновременно служит формированию новой конфигурации и архитектуры международных сил по противодействию подобным угрозам.

После февраля ни одна кибератака со стороны России не принесла урона, сравнимого с последствиями отключения сети Viasat, в том числе потому, что за несколько дней до вторжения Украина приняла поправки, которые позволили правительству переместить государственные данные в облачные хранилища. Неудачи российских кибервойск в Украине стали неожиданностью для экспертов, которые были уверены, что Россия способна на «кибервоенный блицкриг». Сегодня, наоборот, некоторые эксперты считают, что российские атаки не способны нанести Украине ощутимый ущерб и проводятся лишь с целью психологического давления.

Исследователи полагают, что причиной провала российских кибервойск стало сочетание нескольких факторов. Во-первых, в начале войны отсутствовала координация между цифровыми и традиционными войсками — возможно, потому, что план российского блицкрига вовсе не предполагал серьезных и продолжительных боевых действий. Российские хакеры сходу уничтожили украинскую инфраструктуру интернет-коммуникаций, но оказалось, что исчезнувшие 3G и 4G сети — единственные каналы связи, которыми пользуются сами российские военные для передачи шифрованных сообщений. Это вынудило российскую армию использовать незащищенные каналы связи, уязвимые перед украинскими спецслужбами

Во-вторых, из-за того что Москва не рассчитывала на длительный военный конфликт, кибероперации не были должным образом подготовлены. Между тем западные санкции лишили российский IT-сектор необходимого оборудования, а заметную часть весенней и осенней волн «антивоенной» эмиграции из России составили именно айтишники. 

В-третьих, едва ли не впервые в истории глобального киберпространства частные и государственные агенты начали систематически взаимодействовать в противодействии России. Когда в начале войны российские хакеры попытались «зачистить» сайты украинских госорганов и захватить серверы, ответственные за хранение украинских госданных, с помощью вируса FoxBlade, локализовавший его Microsoft мгновенно связался с украинским и американским правительствами, предложив им свои антивирусные разработки. Благодаря усилиям Анн Ньюберг, заместителя советника по национальной безопасности США, созданное в Microsoft ПО было передано другим европейским государствам и, что особенно важно, — прибалтийским странам и Польше, которые ранее не раз становились жертвами кибертеррора со стороны РФ.

Наконец, международное сообщество объединилось не только по линии межгосударственного взаимодействия (США открыто заявляли, что осуществляют поддержку координации усилий украинских киберсил). Арно Барикелла утверждает, что в течение последних нескольких месяцев Россия подвергалась постоянным кибератакам со стороны «международной коалиции независимых хакерских организаций», наиболее известной из которых является движение Anonymous. На их счету взлом 1500 сайтов российских и белорусских госведомств, захват эфира государственных телеканалов, публикация засекреченных данных российских госорганов и госкомпаний и распространение личных данных 120 тыс. российских солдат.

Однако, несмотря на неудачи российской киберармии, киберугрозы, которые исходят от России, не стоит недооценивать. Арно Барикелла в своем докладе предупреждает: «Если традиционные военные операции окажутся безуспешными и Кремль почувствует себя загнанным в угол, российские кибератаки могут стать еще интенсивнее». Президент Microsoft Бред Смит, описывая вклад корпорации в поддержку украинского киберсопротивления, признается: «Российские кибератаки — более изощренные и масштабные, чем это описано в разных отчетах. И российская армия продолжает приспосабливать свое кибероружие к меняющимся военным потребностям, в том числе комбинируя кибератаки с использованием обычного оружия». 

Сейчас, столкнувшись с неожиданным по своей эффективности сопротивлением, российские хакеры переориентировались на сбор конфиденциальных данных для информирования военных и используют для этого фишинговые атаки и троянское ПО. Аналитикам Microsoft удалось обнаружить попытки российских хакеров внедриться в компьютерные сети 128 организаций в 42 странах. Целями атак становятся не только Украина и США, но и Польша, Дания, Финляндия, Турция и другие прозападные страны. Больше всего атак приходится на США (55%), Великобританию (8%), Канаду (3%) и Германию (3%). В этих странах от нападок российских хакеров страдают сектор информационных технологий (29% всех атак), неправительственные (18%), государственные (12%) и образовательные (12%) организации и финансовая отрасль (5%). Для всего этого Россия использует рассылки фишинговых ссылок, уязвимости интернет-провайдеров и публичных интернет-серверов, а также кражу личных данных. 

Кого атакуют российские кибервойска? 2021–2022, % от общего числа зафиксированных российских кибератак

Microsoft выделяет шесть крупных акторов, участвующих в кибервойне со стороны России, и для их обозначения использует кодовые названия. Strontium и Iridium — киберподразделения, курируемые ГРУ и атакующие информационные системы министерства обороны и критически важные инфраструктурные сети (например, транспорт) Украины; Nobelium — группировка под руководством СВР, задачей которой является атака IT-сектора; Bromine, Seaborgium и Actinium — хакеры ФСБ, чьи акции направлены против украинских образовательных учреждений, исследовательских центров, а также против органов правоохранения и энергетических компаний. 

«Непредсказуемость продолжающегося конфликта требует, чтобы организации по всему миру приняли меры по усилению кибербезопасности против цифровых угроз, исходящих от российского государства и связанных с Россией акторов», — заключают свой доклад эксперты Microsoft. «ЕС и США необходимо усилить поддержку Украины — развивать так называемые кибергруппы быстрого реагирования и создавать новые инструменты кооперации — а также укреплять политику и законодательство в области кибербезопасности, учитывая различающиеся законодательные нормы среди европейских стран», — резюмирует свой доклад Барикелла.